1. El primero, es una discusión en el grupo “Gestión de Valor de las Inversiones TI” que trata este tema y en la que bajo mi punto de vista se comentan temas muy interesantes. Echas un vistazo aquí.
2. El segundo, un post en el Blog de Mónica Mistretta en el que detalla los resultados de una sesión de alto desempeño con 8 CIOs de importantes empresas mexicanas con algunas conclusiones interesantes.
3. En tercer lugar, una “captura de discusión twittera” entre amigos mostrada por Antonio Valle en su Blog “Gobierno de las TIC”. El mismo problema visto casi casi tomándose unas cañitas, pero con temas de fondo también interesantes.
4. Y finalmente, el cuarto, un estudio publicado por KPMG: “From cost to value: 2010 global suvey on the CIO agenda” con conclusiones y datos muy interesantes, entre ellos: las TI ya no van a ir más sobre reducción de costes, sino sobre la creación de valor. Imprescindible el “Management Summary” de una página (página 5).

Seguiremos informando Buen fin de semana!!

Comentaba también que esa ausencia de orientación al negocio y alineación con el mismo es una de las principales causas por las que, en general, los Directores de TI no están en el mismo nivel o considerados de igual forma que otros Directores de áreas tradicionalmente más “cercanas” al negocio como puedan ser la Financiera o la Comercial, por ejemplo.

Y es que, aunque generalizar no siempre es bueno, la alta dirección pocas veces tiene la conciencia y conocimiento de la dependencia del negocio de las Tecnologías de la Información cuando cada vez más, esa dependencia es más fuerte y cercana a las áreas tradicionales comentadas.

Tocaría analizar cuáles son las causas de que esa relación entre Alta Dirección y Dirección de TI no sea todo lo cercana y de comprensión mutua que nos gustaría. Como suele decirse en los problemas de pareja, pocas veces una de las partes es la única culpable, por lo que es muy posible que aquí hay aque aplicar lo mismo.

Desde la Dirección de TI creo que todos estaremos de acuerdo que se ha avanzado mucho en los marcos y métodos de alineación y acercamiento de las TI al negocio. ISACA tiene mucho que decir aquí y ha realizado y realiza una labor encomiable como propulsor de esta alineación al publicar sus marcos de referencia que incluyen de facto esa alineación tan buscada. Pero un método o marco no es suficiente, y debemos buscar también en muchos casos la causa de ese problema de alineación en nosostros mismos, los profesionales.

En muchos casos la formación y carrera profesional de los Directores de TI tiene una base eminentemente técnica y si analizásemos un buen grupo de estos profesionales (desconozco si existe un estudio de ese tipo) seguro que en un alto porcentaje descubriríamos que se trata de personas brillantes técnicamente que a base de mayor capacitación y acumulación de experiencia han ido creciendo en sus carreras y compañías hasta llegar al puesto “techo” que en general un profesional de este tipo puede tener: la Dirección de TI. Sin embargo, en general, su formación y capacitación carece de unas bases de negocio, financieras, comerciales, de relación, claves para entender por una parte las necesidades y requisitos del negocio que son necesarias y por otra parte para transmitir la importancia clave de las tecnologías de la inforamción  en esos objetivos estratégicos que el negocio se está planteando o está persiguiendo. Simplificando mucho, unos hablan de Euros cuando los otros hablan de Bits y Bytes (como diría el amigo Jeimy Cano ).

Pero como decía antes, en los problemas de una relación habitualmente no existe un “único culpable”. Si ahora miramos hacia los excelentes profesionales de la Alta Dirección, nos encontraremos probablemente en el caso opuesto. Nuevamente serán profesionales brillantes, con unas carreras excelentes, una formación y capacitación del más alto nivel en gestión de empresas, financiera, comercial, pero… ¿qué hay del factor tecnologías de la información? En muchos casos el conocimiento que existe (necesario desde su perspectiva, no estoy hablando de conocimiento técnico) de las nuevas tecnologías y las tecnologías de la información es escaso, si no inexistente. Salvo en los casos de la formación de más alto nivel (formación Executive, los distintos MBAs, etc.) que seamos realistas, no todos los altos directivos tienen, las tecnologías de la información son inexistentes en temarios y formación.

Aún así, si buscamos un poco más entre los temarios de la formación Executive disponible para esos perfiles, los distintos MBAs y escuelas de negocios (lo he hecho), nos daremos cuenta que ya empiezan a aparecer las Tecnologías de la Información (en muchos casos les llaman Sistemas de Información, o incluso Informática aplicada a la Gestión… ya es un indicador de algo, verdad?) como punto a tratar en los mismos aunque si rascamos un poquito veremos que el contenido en muchos casos (salvo honrosas excepciones) se basa más en un baño “tecnológico” y podríamos decir de “producto” que en uno estratégico, etc. es decir, se centran más en explicar qué es un ERP o similar y qué puede aportar al negocio, que en desarrollar algo más en la línea de otras disciplinas como la financiera, etc. adoptando métodos y técnicas de seguimiento, indicadores, etc.

Me gustaría escribir bastante más sobre esto (quizás lo haga más adelante) pero por resumir, simplificando y nuevamente desde la GENERALIDAD (habréis visto que durante todo el post no dejo de decir, “en general”, “generalmente”, etc.) tenemos 3 aspectos clave como puntos de mejora:

- Perfil, Formación y Capacitación de los Directores de TI: falta el “aspecto negocio”

- Marcos y Métodos de Alineación Negocio/TI: ya existen, falta la adopción de los mismos.

- Formación y Capacitación de Alta Dirección: falta el “aspecto tecnológico”

¿Cuál de estos 3 aspectos estáis abordando vosotros? Bueno… ¿cuál de los 2 primeros? (el tercero intuyo que irá solventándose con las nuevas “hornadas” de altos directivos, verdad?)

[Actualización 2 de Julio: Acabo de encontrarme con un post de Antonio Valle muy relacionado con lo que estaba tratando aquí. Echadle un vistazo]

Han sido unos días estupendos en compañía de buenos amigos y compañeros ya conocidos desde hace tiempo y otras nuevas amistades surgidas en estas “convivencias” que tanto en lo personal como en lo profesional estoy seguro que seguirán desarrollándose (especial mención a mis amigas/os Nallely, Alejandro, Carlos, Orestes y Patrón de México; Pilar, Elizabeth y Jeimy de Colombi;, Lisseth de Venezuela y Gabriel, Daniel , Jorge  y Marcelo de Argentina).

Vuelvo cargado de buenos recuerdos de una cantidad importante de notas, ideas, reflexiones profesionales, etc. que ahora toca continuar desarrollando y comentando en otros foros. No incluiré aquí  las más de 12 hojas de One Note que me llevo para meditar, aunque sí me gustaría compartir con todos vosotros algunos puntos que creo que resumen bastante bien los principales temas que han sido eje de las conferencias y que muy probablemente iré desarrollando las próximas semanas de forma independiente. 

1. La orientación al negocio de las TI es sin duda la gran lucha y el gran reto que tenemos por delante ya desde hace años. Realmente este  probablemente sea el eje principal no ya de las conferencias, sino del trabajo de ISACA en los últimos años y es una de las razones (la ausencia de orientación y alineamiento con el negocio) por las que los Directores de TI de las organizaciones, en general, no están igual de considerados que el resto de sus compañeros (Directores Financieros, Comerciales, de Operaciones…)
2. COBIT no se implementa, se adopta. COBIT NO es un estándar, es un marco, y como tal no debemos ser “integristas” (yo conozco unos cuantos) sino que debemos utilizar lo mejor de COBIT para adaptarlo y modificarlo si es necesario para ajustarlo a la organización (gracias Jorge Medin por el excelente taller de Implementación de Balance Scorecard de TI ).
3. Los próximos 5 años van a ir de información sobre procesos: deberemos centrarnos más en la gestión de la información que en la tecnología. Esto no es si no, una consecuencia de esa orientación al negocio que comentábamos al principio. Ya desarrollaremos esto más en próximas entradas.
4. Cloud is here to stay, o como yo digo, la nube ha surgido y nadie sabe como ha sido Nos guste o no, vamos a ver nubes durante los próximos tiempos, lo que no estoy seguro es si llegaremos a ver la luz entre ellas, pero nubes va a haber, así que toca prepararse. Como  dice el gran Jeimy Cano, “cloud computing es una decisión: o te montas o no te montas en la nube”.
5. COBIT 5 llegará muy probablemente en la primavera de 2011 y con ello, esperamos contar con un modelo que integre ya tanto COBIT actual, como Val IT y Risk IT, consiguiendo (volvemos a lo mismo) una orientación y alineación total al negocio. A prepararse toca!
6. “No reinventemos ruedas”. Si tenemos que desarrollar arquitecturas, servicios de TI, seguridad, desarrollo de software, etc. ¿por qué inventar cosas nuevas si las hay excelentes que podemos adaptar y utilizar como nos venga mejor para que se ajusten a nuestra organización? Utilicemos modelos como marcos de referencia: TOGAF, FEA, CWM, ITIL, ISO 27000, ISO 20000, BS 25999, CMMI, COBIT, ValIT, RiskIT…
7. Estándares vs Modelos/Marcos o Europa vs América. Me ha resultado muy revelador el hecho de que en toda América, en general, hay un nivel madurez mucho mayor en los temas de gobierno y gestión de TI y concretamente en la utilización e implantación de COBIT que en Europa. Sin embargo, el uso de estándares (y su correspondiente certificación) aún está poco extendido. No he conocido ninguna empresa de las que estaban allí (y he hablado y conocido muchas) que estuviesen certificados por ejemplo en ISO 27001. Curioso, ¿verdad? En Europa tenemos justo la situación inversa, mucha menos penetración de COBIT y otros modelos y mucha mayor de estándares como ISO 27001 o ISO 20000…

 Seguiremos informando

A continuación tenéis más detalles sobre el programa, ubicación, inscripción, etc.:

Los horarios son orientativos.
 

Fecha:
15 de Abril a las 18:00

Localización:
El Instituto está en la Calle Serrano, 144.

Cómo Llegar:
En el enlace www.ifa.csic.es/Contacto.aspx se pueden consultar medios de transporte público.

Inscripción:
Para poder inscribirse, sólo es necesario introducir el nombre de pila y la dirección de correo electrónico en el formulario de inscripción.

¡Nos vemos allí!

Como habríais notado en los últimos tiempos del Blog, no sólo estaba centrado en el ámbito de la seguridad (que por supuesto también) sino que comencé a abordar otros campos que para mí tenían (y tienen) mucho interés como el Gobierno de TI, la Seguridad en Entornos Industriales y Protección de Infraestructuras Críticas, la Psicología de la Seguridad o todo este “nuevo” mundo del Cluod Computing, entre otros.

En esa línea, durante este tiempo (hoy hace 322 días, casi 11 meses, que no actualizaba el Blog) han pasado cosas interesantes:

He tenido una hija que tiene, casualmente, 11 meses … (y ya 8 dientes!)

Estoy cursando el segundo semestre del Grado de Psicología en la UOC y voy por la octava asignatura con unos resultados que me están sorprendiendo muy gratamente (no solo en las calificaciones sino en la nueva perspectiva a aplicar en el resto de temas que estoy manejando).

Desde Intermark seguimos investigando, participando y ejecutando temas de mucho interés en Seguridad en Entornos Industriales. En este sentido muy recientemente hemos coordinado e impartido el 1er Taller de Seguridad en Productos y Sistemas de Control Industrial (SCADA) organizado en nuestro país, coincidiendo con el I Encuentro Internacional CIIP organizado por el CNPIC (Centro Nacional de Protección de Infraestructuras Críticas).

Estoy participando todo lo activamente que puedo en la Comisión para el Buen Gobierno Corporativo de las TIC del capítulo de Madrid de ISACA, en las Comisiones de Seguridad  y de Software de ASIMELEC y en el recientemente constituido grupo de Cloud Computing de dicha comisión, entre otros.

Tras habernos certificado en ISO 27001 el año pasado (además de 166001 y 9001 hace tiempo ya), en Intermark estamos en pleno proceso de implantación de ISO 20000, con un objetivo de certificación antes de final de año.

El Equipo M45 de seguridad en el que participo como Gerente,  lleva ya casi 2 años de feliz andadura con importantes logros y referencias en el ámbito de la Administración Pública. Enhorabuena desde aquí a todos sus participantes. Creo que somos un gran ejemplo de trabajo en colaboración entre empresas y profesionales de un mismo ámbito que en ocasiones pueden ser competidores y en otras aunar esfuerzos en busca de un objetivo común.

Han pasado muchas más cosas, pero creo que con este pequeño resumen (de hecho únicamente con el primer punto sería suficiente) podéis justificar mi ausencia “bloguera”.

Como está próximo mi cumpleaños, voy a intentar “regalarme” el propósito de continuar estando presente aquí con nuevos contenidos y espero que diversas noticias profesionales, del sector (y personales) que puedan ser de vuestro interés.

A los que me habéis ido preguntando: aquí estoy de nuevo. Al resto, ya que estáis leyendo esto, gracias por permanecer a la escucha.

Seguiremos informando

En mis presentaciones y charlas siempre digo que la seguridad de la información en el entorno industrial está al menos 5 años por detrás de la situación en el resto de sistemas corporativos y digo que si pensásemos un mundo en el que un simple catarro pudiese matarnos, estaríamos hablando de la seguridad de los sistemas industriales, la informática industrial y los sistemas SCADA, entre otros.

Pues bien, en el artículo de hoy de Wall Street Journal, se confirma que Estados Unidos ha recibido ataques a sus redes de suministro eléctrico desde China, Rusia y otros países y que han encontrado software y programas maliciosos instalados internamente, preparados para ser activados que podrían causar importantes alteraciones en el servicio en el caso de ser activados (dicen ellos que probablemente estarían preparados para ser activados en caso de guerra o ataque de otro tipo… aunque quizás pueda ser algo teatral, según se lee).

El caso es que desde fuentes oficiales se confirman estos ataques y estos hechos. Así mismo indican que los hallazgos no han sido descubiertos por las compañías que mantenía los sistemas sino por ”agencias de intelegencia gubernamentales”, lo que no deja de ser aún más preocupante, y dejan datos como que durante los últimos 6 meses se han gastado más de 100 millones de dólares en reparar “ciber-daños” (es decir problemas causados desde el “ciberespacio”).

Quizás esta sea una de las causas del importante programa de defensa del ciberespacio que la “administración Obama” está desplegando, dedicando importantísimos recursos monetarios, humanos y organizativos a este tema.

Como ya habíamos comentado aquí, existen varias normativas y estándares de obligado cumplimiento en ese país para empresas de suministro energético, aguas, etc. Parece que están en el camino de tomar las riendas en el problema y comenzar una aproximación al mismo.

Ya preguntaba antes aquí cuál era la situación en nuestro país en este sentido… y no he recibido ningún comentario ni contestación… lo cuál no deja de confirmar mi preocupación (que se acentúa cada vez que conozco alguna instalación crítica). Deberíamos estar haciendo algo… si no lo estamos haciendo ya ¿no creéis?

Podéis acceder al artículo completo aquí. Os recomiendo su lectura.

Precisamente Miguel recoge en su blog una descripción en detalle de la comisión, sus objetivos, finalidades, etc. que os recomiendo que reviséis si alguno de vosotros está interesado en participar (activamente ).

Seguiremos informando…

He de decir que ya llevo una buena temporada muy involucrado (y quizás más de hecho que en seguridad) en el gobierno de TI, y que por ello decidí hacer el esfuerzo de venir a un foro en el que el Gobierno TI es un punto clave en sus contenidos con el fin de conocer qué se está haciendo “por ahí fuera” y aclarar algunas de mis ideas.

Pues bien, estos días estoy asistiendo (iba  a decir perplejo, pero no es esa la palabra, sino más bien espectante) a mensajes, presentaciones y comentarios muy interesantes en relación a este tema y hoy quería centrarme más en la seguridad dentro del gobierno de las TI.

Amigos todos, he de deciros (como ya sabréis probablemente) que este gran e importante campo de la seguridad de la información que muchos vemos como prioritario, importante y crucial dentro de la organización, en el que hay importantes campañas de implantación de normas como la ISO 27001, que parece que viene a resolver todos los males de la organización, etc. para la gente que realmente Gobierna las compañías no es más que otro Control Interno de TI. En efecto, la seguridad, la continuidad de negocio, etc. no son más que controles internos que la organización implanta para mejorar su estado (disminuyendo el riesgo). De forma muy general el riesgo se puede transferir, tolerar o mitigar… y la seguridad ayuda en una de esas opciones.

Es curioso como cambiando la perspectiva con que se miran las cosas, opiniones que a priori podrían chocar frontalmente con nuestras ideas tienen todo el sentido del mundo. ¿Qué opináis sobre esto? Sí, ya lo sé, que si la Seguridad no es sólo TI, es mucho más, etc. etc. Eso yo ya lo sé, pero poneros un momento en el papel de quien gobierna la organización, cuáles son sus objetivos estratégicos y qué acciones debe llevar a cabo y puntos debe afianzar (por no decir asegurar). ¿Es algo más que otro Control Interno?

Ya como reflexión personal, lo que me preocupa enormemente es que si éste (la seguridad) es un único punto de los muchos que considerar en una organización como control interno y es tan complejo y extenso como todos conocemos, y por lo general se está haciendo tan mal como muchos sabemos, estará pasando lo mismo en otras áreas que desconocemos totalmente o estarán mucho más maduras y sus profesionales serán mucho mejores que nosotros y su nivel de madurez etc. será muy superior…. mmm…. quizás la respuesta a esta pregunta/reflexión sea la situación económica mundial que en estos momentos estamos viviendo, ¿no os parece? (estoy deseando hablar sobre esto con mi buen amigo y gran experto en Gobierno/Gobernanza TI Miguel García Menéndez).

Pero ese es otro tema que trataré otro día… la situación de crisis que estamos viviendo y mi percepción en estos foros… interesante.

La conferencia en sí será los días 16, 17 y 18, mientras que los 2 días antes y después habrá talleres específicos sobre distintos temas como “Implementando el Gobierno de TI utilizando COBIT y ValIT”, “Introducción a ValIT” o “Auditando con Hojas de Cálculo”, entre otras.

El programa es realmente interesante y habrá ponentes del más alto nivel tratando los últimos temas en Auditoría, Seguridad y Gobierno TI. Una oportunidad irrepetible (hasta Septiembre, que se celebra la conferencia equivalente para Latino América en Costa Rica ), que no hay que desperdiciar.

Yo tendré la suerte de asistir en representación de mi empresa, Grupo Intermark y del Equipo M45, y espero traer muchas nuevas ideas y conceptos interesantes, algunos de los cuales probablemente iré recogiendo aquí. Por supuesto, si alguno de vosotros tiene pensado asistir, no dejéis de avisarme (una semana en Frankfurt solo puede ser algo aburrida, incluso con semejante programa de formación ). Prometo invitar a unas cervezas.

Podéis acceder a más información sobre la conferencia aquí. Nos vemos allí!

Esta certificación culmina un pequeño reto que hace un año nos planteábamos mi gran amigo Nacho y yo: conseguir las certificaciones de ISACA en el periodo de tiempo más corto posible.

Hasta ese momento habíamos orientado inicialmente nuestras certificaciones a los temas más técnicos (probablemente a causa del mercado del que procedíamos), primero con certificaciones de fabricantes, y más tarde viendo claramente la ventaja de las certificaciones independientes, comenzando hace unos años ya con la hoy famosa ISO 27001 (en aquel entonces BS7799) y “emigrando” a obtener el Lead Auditor en tierras anglosajonas, al igual que las de SANS Institute (GIAC) orientadas a auditoría (GSNA, GIAC Systems & Network Auditor, GAWN, GIAC Assessing Wireless Networks, o SSP-GHP, Stay Sharp Google Hacking & Defence).

Siguiendo esa evolución vimos como una opción clara la certificación CISSP (Certified Information Systems Security Professional) por ser muy completa, de alto nivel y muy valorada internacionalmente. Nacho continuó con CEH (Certified Ethical Hacker) y a mí me picó la “curiosidad” de la Continuidad de Negocio, obteniendo el título de BS25999 Lead Auditor.

Fue en ese momento (Febrero de 2008) cuando nos planteamos el objetivo de conseguir CISA y CISM de inmediato (y ya por el camino, surgió CGEIT). Puesto que no es posible presentarse a ambos exámenes en la misma convocatoria (como bien sabréis son el mismo día, a la misma hora, en el mismo sitio), priorizamos en ese momento CISA para Junio y CISM para Diciembre… y procedimos. Aprobamos ambos en las convocatorias correspondientes y llegado el punto, ¿por qué no aplicar para el CGEIT?

El resto ya lo sabéis. Hoy veo cumplido el objetivo de hace unos meses, la verdad, con gran satisfacción… y con cierta inquietud. ¿Y ahora qué? Mi mujer y mi hija dicen que me tome un descanso, pero como me conocen ya suponen que será complicado.

Creo que parte de mis reflexiones se van leyendo por aquí y podéis ver que estoy buscando temas interesantes que desarrollar. Incluso me estoy planteando estudiar cosas totalmente distintas, como Psicología (organizacional) o algo en ese sentido… pero tengo que meditarlo y poner en la balanza lo que me aporta y lo que me cuesta (¿un análisis de riesgos? ).

En todo caso, los que mañana se encuentren conmigo (en Gijón será esta vez), saben que están invitados, al menos, a un vermouth Para los que no coincidamos, vaya desde aquí una invitación “virtual” para la próxima vez que nos veamos.

… y… ¿con qué me recomendáis seguir?

Por cierto, ¿qué opináis de las firmas “egocéntricas” (como este post ) como la siguiente y que se ven tanto en foros internacionales? (a mí me parecen totalmente fuera de lugar )

Samuel Linares
CGEIT, CISA, CISM, CISSP, BS25999 & BS7799 Lead Auditor, GSNA, GAWN, SSP-GHD, CNE, CNA, JNCIA-FW, CCSA, CCSE, SCNA, SCSA, Experto Universitario en Protección de Datos…

Siempre he preferido este otro tipo:

SL

(los galones mejor que nos los pongan otros, no nosotros mismos)