InfoSecMan Blog

Durante los últimos días he tenido la oportunidad de compartir experiencias, impresiones, aproximaciones (y alguna que otra copa 😉 ) con algunos de los mayores expertos a nivel internacional en el Gobierno y Gestión de las TI en el marco de la ISACA International Conference que este año, tras haberse fusionado con LatinCACS, se ha celebrado en Cancún (México).

Han sido unos días estupendos en compañía de buenos amigos y compañeros ya conocidos desde hace tiempo y otras nuevas amistades surgidas en estas “convivencias” que tanto en lo personal como en lo profesional estoy seguro que seguirán desarrollándose (especial mención a mis amigas/os Nallely, Alejandro, Carlos, Orestes y Patrón de México; Pilar, Elizabeth y Jeimy de Colombi;, Lisseth de Venezuela y Gabriel, Daniel , Jorge  y Marcelo de Argentina).

Vuelvo cargado de buenos recuerdos de una cantidad importante de notas, ideas, reflexiones profesionales, etc. que ahora toca continuar desarrollando y comentando en otros foros. No incluiré aquí  las más de 12 hojas de One Note que me llevo para meditar, aunque sí me gustaría compartir con todos vosotros algunos puntos que creo que resumen bastante bien los principales temas que han sido eje de las conferencias y que muy probablemente iré desarrollando las próximas semanas de forma independiente. 

1. La orientación al negocio de las TI es sin duda la gran lucha y el gran reto que tenemos por delante ya desde hace años. Realmente este  probablemente sea el eje principal no ya de las conferencias, sino del trabajo de ISACA en los últimos años y es una de las razones (la ausencia de orientación y alineamiento con el negocio) por las que los Directores de TI de las organizaciones, en general, no están igual de considerados que el resto de sus compañeros (Directores Financieros, Comerciales, de Operaciones…)
2. COBIT no se implementa, se adopta. COBIT NO es un estándar, es un marco, y como tal no debemos ser “integristas” (yo conozco unos cuantos) sino que debemos utilizar lo mejor de COBIT para adaptarlo y modificarlo si es necesario para ajustarlo a la organización (gracias Jorge Medin por el excelente taller de Implementación de Balance Scorecard de TI 🙂 ).
3. Los próximos 5 años van a ir de información sobre procesos: deberemos centrarnos más en la gestión de la información que en la tecnología. Esto no es si no, una consecuencia de esa orientación al negocio que comentábamos al principio. Ya desarrollaremos esto más en próximas entradas.
4. Cloud is here to stay, o como yo digo, la nube ha surgido y nadie sabe como ha sido 🙂 Nos guste o no, vamos a ver nubes durante los próximos tiempos, lo que no estoy seguro es si llegaremos a ver la luz entre ellas, pero nubes va a haber, así que toca prepararse. Como  dice el gran Jeimy Cano, “cloud computing es una decisión: o te montas o no te montas en la nube”.
5. COBIT 5 llegará muy probablemente en la primavera de 2011 y con ello, esperamos contar con un modelo que integre ya tanto COBIT actual, como Val IT y Risk IT, consiguiendo (volvemos a lo mismo) una orientación y alineación total al negocio. A prepararse toca!
6. “No reinventemos ruedas”. Si tenemos que desarrollar arquitecturas, servicios de TI, seguridad, desarrollo de software, etc. ¿por qué inventar cosas nuevas si las hay excelentes que podemos adaptar y utilizar como nos venga mejor para que se ajusten a nuestra organización? Utilicemos modelos como marcos de referencia: TOGAF, FEA, CWM, ITIL, ISO 27000, ISO 20000, BS 25999, CMMI, COBIT, ValIT, RiskIT…
7. Estándares vs Modelos/Marcos o Europa vs América. Me ha resultado muy revelador el hecho de que en toda América, en general, hay un nivel madurez mucho mayor en los temas de gobierno y gestión de TI y concretamente en la utilización e implantación de COBIT que en Europa. Sin embargo, el uso de estándares (y su correspondiente certificación) aún está poco extendido. No he conocido ninguna empresa de las que estaban allí (y he hablado y conocido muchas) que estuviesen certificados por ejemplo en ISO 27001. Curioso, ¿verdad? En Europa tenemos justo la situación inversa, mucha menos penetración de COBIT y otros modelos y mucha mayor de estándares como ISO 27001 o ISO 20000…

 Seguiremos informando 😉