Desde los problemas típicos hasta los más complejos, son los que se presentan en un área de TI conforme se desarrollan sus servicios o existan cambios de áreas prioritarias desde la dirección de tecnologías de la información, por ejemplo, el cambio de OnPremise a Cloud, implementación de DevOps, entre otras similares. Desde la perspectiva individual, uno puede percibir cambios que pueden realizarse a corto plazo, con beneficios palpables, sin embargo, a veces la burocracia o falta de gobierno, hacen que los problemas permanezcan y se estanque la mejora continua de la cultura organizacional.

Conflictos de sub-áreas de TI

El típico problema suele manifestarse entre los desarrolladores vs testers, o testers vs producción, help desk vs desarrolladores; la falta de contribución de valor en conjunto es la que empuja a que manifiesta de manera permanente este conflicto. A veces la falta de gobierno, como establecer políticas de sistemas de información como representación del área de TI para toda una organización, suele ser la piedra en el zapato, mala comunicación o una corrupción solapada entre colaboradores, bajando el autoestima de quienes ejecutan sus actividades con la ética y valores que se establecen desde la dirección.

La falla desde terceros

La dependencia con proveedores suele ser un tema de tocar con pinzas, por más confianza que se tenga con un proveedor, los usuarios finales se quejarán siempre ante el área de I&T, pues, son ellos quienes han elegido a su proveedor, y son ellos quienes deben tomar cartas en el asunto ante la permanencia de contrato con un proveedor que manifiesta incumplimiento. Se mencionó que se debe tocar con pinzas debido a que se deberá analizar el nivel de unión y proyectos encaminados con cierto proveedor para no perjudicar y aumentar los riesgos de entregables acordados. Es por ello que las reglas del juego deben quedar muy claros, desde un acuerdo contractual hasta una evaluación de servicio.

Hallazgos de auditoría

Los hallazgos habituales de auditoría u otros informes de evaluación sobre un pobre desempeño de TI o notificación de problemas en la calidad del servicio de TI, suelen ser un dolor de cabeza para algunos colaboradores del área de I&T, y esto no parte más que de la falta de cultura de mejora continua, pues debe verse este tipo de observaciones como una reprenda positiva y generadora de oportunidades. Hemos visto muchas veces a varios clientes que durante una auditoría externa suelen tener todo un día anterior las regularizaciones faltantes que en teoría debe presentarse de manera perenne, y una vez culminado la auditoría, regresan a un estado de incumplimiento o regularizaciones posteriores. ¿Por qué?, muchas veces las frecuencias de auditorías suelen ser muy amplias, o el alcance no consideró procesos crítico, lo que lo convierte en algo peor. Otro punto en contra es la falta de penalidad y su severo cumplimiento, sobre todo en quienes tienen cargos mayores (de jefes hacia arriba), y pues, suele generar mayor malestar o falta de ética que quienes deberían promulgar con el ejemplo el cumplimiento de políticas, suelen pasarlo en alto o consideran que son intocables. Recordemos que en una auditoría internacional de seguridad de la información como ISO 27001, si un gerente tiene participación de manipulación de los datos de un activo de información, deberá también ser considerado como un elemento bajo custodia, es decir, se deberá asignar a alguien que revise su comportamiento respecto al uso de esa información, generalmente auditores externos que actúan de manera imparcial.

Consejo audit

Estos son unos cuantos problemas de I&T que se pueden detectar en esta primera entrega. En siguientes artículos seguiremos detallando problemas resultantes en I&T con el siguiente fin: la construcción de un perfil de riesgo, debido a que después se deberá profundizar en la causa que desencadena estos riesgos. En audit utilizamos ISO 27005 como base para crear su propia metodología de riesgos, apoyándonos en MAGERIT y OCTAVE-S, como metodologías populares de implementación de gestión de riesgos en la organización.

Fuentes:

• COBIT 2019 Framework: Introduction and Methodology