¿Un Sistema de Gestión Integral para las TICs, con base en las normas ISO?
(Por David Mondragón Tapia)
Una problemática cada vez más común
Una pregunta que regularmente hacen los líderes de las organizaciones, con respecto al aprovechamiento de las inversiones que se hacen en materia de tecnologías de la información y comunicaciones (máximo valor y resultados, mínimos costos y riesgos), es cómo estructurar las operaciones del departamento de TI o incluso de la organización entera, de forma tal, que se pueda responder mejor a las necesidades organizacionales pero sin descuidar el gobierno y la efectividad de TI, así como certificar la operación en caso de ser requerido.
Como consultor, dar una respuesta sencilla y puntual a dicha inquietud, no ha sido tarea fácil. Sin embargo, como resultado del análisis hecho de los últimos seis años de entregar servicios de consultoría, relacionados con la implementación de sistemas de gestión en organizaciones de diversos sectores económicos, como por ejemplo: sector financiero, de telecomunicaciones, de seguros, de ciberseguridad, de ventas de equipo médico o de cómputo y/o de centros de datos, se han podido identificar y recopilar algunas lecciones aprendidas, que involucran la respuesta a la pregunta anterior, así como el manejo de términos, requisitos, controles y lineamientos derivados de diversas normas ISO especializadas en Tecnologías de la Información.
Normas ISO en TI, ¿una solución accesible?
El proceso de inmersión digital en que se han metido las organizaciones y sus diferentes áreas o departamentos que las conforman, viene provocando un fenómeno al interior de estas que llamaré, “torbellino metodológico”. Este fenómeno muy sui géneris, es el efecto ocasionado por la búsqueda incesante de transformar las características o atributos de una organización cualquiera, sea pública o privada, pequeña o grande, lucrativa o no, para que le permita maximizar el valor y los resultados de su operación y gestión, pero manteniendo al mínimo los costos y los riesgos que esto conlleva.
La Organización Internacional de Normalización (ISO por sus siglas en inglés), es una federación mundial de organismos nacionales de normalización (miembros), cuyo propósito es trabajar en la elaboración y publicación de normas internacionales especializadas en distintas materias, para las cuales se han establecido comités técnicos. En el caso de las normas ISO que están especializadas en Tecnologías de la Información o TI, existen algunas de estas que establecen requisitos y otras, lineamientos aplicables a cualquier organización que opere y trabaje dentro de este ámbito. No obstante lo anterior, existen también algunas otras normas dedicadas a temas como la gestión de la calidad, lo ambiental o los riesgos, que pueden ser de gran utilidad y aplicables de igual manera a la gestión de las organizaciones TIC. Normas como la ISO 20000-1 (gestión del servicio de TI) o la ISO 38500 (gobierno de TI) o la ISO 27001 (gestión de riesgos de seguridad de la información), por sí solas pueden ser de gran ayuda para las organizaciones, apoyando parcialmente en la resolución de una problemática como la mencionada al inicio. Sin embargo, es en su combinación o integración como se pueden obtener aún mejores resultados, para las organizaciones que necesiten maximizar sus inversiones en TICs. El aprovechamiento de las normas ISO, no está peleado con la tarea de evidenciar requisitos para obtener una certificación o con la adopción fiel de los lineamientos que estas proponen. Por el contrario, constituyen un cuerpo de mejores prácticas que se pueden adaptar para hacer frente a diferentes retos o problemas, solo hay que saber cómo.
Un Sistema de Gestión Integral para las TICs
Adoptar y certificar un sistema de gestión basado en una norma ISO, es un acontecimiento organizacional que desde hace ya algunos años, es visto como un esfuerzo costoso, vano y burocrático (o un mal necesario). Es muy posible que lo anterior se deba, tanto al enfoque altamente comercial que le han dado proveedores de servicios de consultoría y certificación en el tema, como las razones fugaces que han motivado a las organizaciones a embarcarse en esto, lo que ha incidido en dicho proceso de descrédito. Sin embargo, también es cierto que la adopción de las normas ISO hoy en día, se está volviendo una exigencia (compliance) del mundo globalizado para competir, un diferenciador de mercado, un jugador clave en el gobierno corporativo y/o un generador de soluciones a los retos y problemáticas actuales.
En el año 2012, se inicio un esfuerzo para homologar la estructura y contenido, los requisitos generales, los términos y definiciones, entre otros elementos relevantes de las normas ISO más populares (ej. ISO 9001, ISO 14001 e ISO 22000). Como resultado de esto, se propuso una estructura de “alto nivel” para las normas certificables (anexo “SL” o “L”), mismas que han venido siendo sometidas a un proceso de migración paulatino, hacia esta nueva estructura común, para facilitar su uso o adopción, pero también para facilitar su combinación e integración en lo que llamamos un “Sistema de Gestión Integral o SGI”.
Un Sistema de Gestión Integral se define o caracteriza por ser un sistema de gestión, integrado por dos o más normas ISO que resultan del interés y utilidad, para la organización que lo desarrolla y posee. Una organización de TI puede adoptar y eventualmente certificar un SGI, seleccionando las normas adecuadas que sirvan para el logro de los objetivos y metas de su plan estratégico.
¿Por dónde comenzar a construir mi SGI para mis TICs?
Una situación común que he encontrado en diversas organizaciones, empresas, áreas o departamentos de TI, cuando inician su proceso de inmersión al mundo ISO, es que primero quieren comenzar por implementar, cumplir y certificar la llamada norma madre (ISO 9001), misma que está orientada a los sistemas de gestión de la calidad, por considerarla la norma más conocida, la norma de entrada, la norma que acumula más experiencias que puedan ser compartibles o simplemente la norma que sirva de fundamento para posteriormente moverse, hacia otros sistemas de gestión (ej. hacia un SGS basado en la ISO 20000-1). A primera vista, dicha tendencia organizacional parece buena, razonable y hasta aconsejable, pero los últimos seis años de experiencias que deseo compartir en una serie de artículos, me han demostrado y seguramente te mostrarán a ti también, que podría haber un camino más conveniente de seguir con el tiempo, aunque tal vez no al inicio, para las organizaciones especializadas en el manejo de las TICs.
En el siguiente artículo, comenzaré por presentarte la primera lección aprendida de estos años de observación y cuestionamiento consultivo. ¡Espéralo!, seguramente te mostrará un enfoque alternativo de interés.
Referencias consultadas
1. Norma Internacional ISO 9001:2015. Sistemas de Gestión de la Calidad – Requisitos. Traducción oficial al español. Publicada en Ginebra, Suiza.
2. International Standard ISO/IEC 20000-1:2018. Information technology – Service management - Part 1: Service Management System Requirements. Published in Geneva, Switzerland. Third edition.
Necesitamos su consentimiento para cargar las traducciones
Utilizamos un servicio de terceros para traducir el contenido del sitio web que puede recopilar datos sobre su actividad. Por favor revise los detalles en la política de privacidad y acepte el servicio para ver las traducciones.