Gobierno de TI ágil
Desde el nacimiento de la metodología ágil siempre hubo una relación directa al desarrollo de software, con el fin de reducir el riesgo de ineficiencia en gestión de los recursos utilizados en los proyectos de esta índole, sin embargo, si consideramos que gestión y gobierno son dos conceptos distintos, nacen las preguntas ¿Se podrá volver ágil la gestión de tecnologías en una organización? ¿Qué se necesita agilizar en el gobierno de TI?
Gobierno vs Gestión
El gobierno es el control general de los recursos de TI, establecimiento de políticas, directrices y evaluaciones constantes de cumplimiento de normas para la generación de valor en la organización. El gobierno dicta lo que le hace bien a la organización y la gestión sólo ejecuta lo que debe hacerse bien, sin embargo lo primero muchas veces no sucede y las tecnologías de la información sólo se usan para apagar los incendios tecnológicos. El gobierno busca que los riesgos inherentes en las organizaciones, productos de las operaciones, no afecten a las necesidades de las partes interesadas. El soporte del gobierno ágil empresarial de tecnologías de información o A-GEIT, nace como una guía de fluidez anexa a COBIT 5 (marco de trabajo enfocado en la gobernabilidad), lo cual no pretende ser un saludo a la bandera si no un impulsor a los habilitadores de COBIT.
A-GEIT
El reto es el siguiente; como la mayoría debe tener de conocimiento, ágil busca manejar la cantidad necesaria de documentación, la mínima necesaria para iniciar un desarrollo (para ello se necesitan desarrolladores experimentados), entonces los mismo que se aplicó al desarrollo se software se busca para el desarrollo de gobierno, es decir, agilidad para la creación y mantenimiento de un sistema de gestión de riesgos relacionados a TI e incrementar la confianza en la capacidad de proteger los activos de información en la organización. El control interno ágil es un paso fundamental para A-GEIT en el cual COBIT a través de sus habilitadores permitirá la creación del mismo, este primer paso permitirá crear indicadores para controlar el cumplimiento de procesos, servicios, habilitadores y aplicaciones. Con el paso del tiempo tras la implementación de un A-GEIT, los profesionales involucrados suman fuerzas generando confianza en el equipo ágil para tratar problemas de riesgos corporativos más complejos.
Automatización
El manifiesto ágil se apoya en ciertas herramientas para poder alcanzar la entrega de requerimientos de software hacia el cliente sin reducir la entrega de valor, estas herramientas pueden ser DevOps, Team Foundation Server, Test Cases, etcétera, y como se mencionó anteriormente, tratar de derribar la burocracia y todo lo que provoque lentitud a la entrega de resultados de construcción de software. Lamentablemente, una de esas barreras incluye requisitos de otras partes interesadas como la seguridad de la información y cumplimiento. Por lo tanto, el reto del profesional, también es incluir dentro del ciclo de vida de desarrollo de software el cumplimiento de las necesidades de estas otras partes interesadas. Esto se puede lograr con: Inclusión de profesionales dentro del ciclo de desarrollo de software, enfocados en evitar riesgos financieros del negocio como producto de presencia de código malicioso, enfocados en evitar incumplimiento legal del contexto jurídico donde se encuentre la organización y enfocados en evitar el incumplimiento con las normas internas de la organización en cuestión de seguridad de la información y estándares de seguridad mínimo en la construcción de software. Todo lo mencionado anteriormente bajo la dirección de respuesta rápida a los cambios del negocio y al equipo de profesionales que lo acompañan, para ejecutar las directivas correspondientes e inclusión de herramientas como pruebas unitarias, pruebas de intrusiones, pruebas de ataques, pruebas de estrés, etc.
Consejo audit
La gestión de riesgos como apoyo al gobierno corporativo de tecnologías de información, promueve la generación de valor sostenible, es decir reduce o mitiga la incertidumbre de todo lo relacionado a pérdida de valor de manera súbita o ralentizada (en ejemplos sería, una ataque DDoS a un servidor principal o un ataque de ingeniería social al ERP principal de la organización). Por lo tanto es importante cuidar de nuestro ciclo de desarrollo de software por todos los lados que éste involucre, desde la fase de análisis, programación, pruebas y sobretodo despliegue. Con establecer los estándares mínimos de calidad que deben tener los software de la organización estará dando un paso importante. En audit realizamos una análisis de pies a cabeza de su proceso de desarrollo de software para indicarle el nivel de seguridad que éste presenta respecto al cuidado de activos de la empresa.