doctorado en administración de empresas (dode) … · página 5 de 23 sección 4 se analizará el...
TRANSCRIPT
Doctorado en Administración de Empresas (DODE)
Año 2011
Monografía para : Corporate Governance
Título: “Gobernancia en TI: Cloud Computing”
Alumno: Ferreiro Christophersen, Javier
Tutor : Dr. Rodolfo Apreda
Lugar y fecha: Buenos Aires, Noviembre 2011
Página 2 de 23
Abstract:
Gobernanza de TI es el alineamiento de las Tecnologías de la información y la comunicación (TI) con la
estrategia del negocio. Traslada las metas y la estrategia a todos los departamentos de la empresa, y
proporciona el mejor uso de la tecnología y de sus estructuras organizativas para alcanzarlas.
Este trabajo analiza un aspecto concreto de la Gobernanza de TI , que es la posibilidad de uso en
Argentina de la tecnología del Cloud Computing, esto es un paradigma en el que la información se
almacena de manera permanente en servidores de Internet y se envía a cachés temporales de cliente, lo
que incluye equipos de escritorio,smartphones, portátiles, etc.
Dado que no es lo mismo usar Cloud en Argentina que en otras partes del Mundo:
¿Cuál es el impacto hoy en los roles tradicionales de la Gobernancia ( rol fiduciario, accountability,
transparencia ) de ingresar a Cloud para una organización empresarial Argentina ? Este paper
argumenta que es contrapruducente en la actualidad para una empresa de nuestro medio ingresar a este
nuevo paradigma , sin descartar una posibilidad en el futuro si se disminuyen ciertos factores de riesgo
que se analizarán.
Página 3 de 23
Introducción
Se habla mucho estos días del término: Que nuestros datos y relaciones no estén en nuestros equipos ni
dependan del sistema operativo de nuestros equipos, sino en la red (the cloud, en las nubes).
Definido de otro modo, el Cloud computing sería la tendencia a basar las aplicaciones en servicios
alojados de forma externa, en la propia web.
Y eso es lo que está pasando en la actualidad: Google, Microsoft (el rey de las aplicaciones
empresariales), como llevan tiempo haciendo Amazon o Salesforce, empiezan a preparar productos,
sistemas operativos que desde el ordenador, los propios datacenters o la misma nube, sean seguros,
eficientes, eficaces y atractivos en definitiva para las empresas.
Así, si durante la era del PC, Microsoft Windows e Intel (“Wintel”) fueron los dueños de la gestión
empresarial, hoy, cuando la potencia física, la capacidad de las infraestructuras de banda ancha ya resulta
suficiente, son varios los que intentan repartirse el pastel de ‘Cloud’.
Existe, en paralelo a este movimiento, una corriente de pensamiento reticente, que llega a asegurar que los
sistemas operativos para la web pueden terminar con lo 2.0.
El motivo es lógico: los prosumidores (consumidores y productores de información) no son
desarrolladores de código (más si este, como en la mayoría de las plataformas en las que se interactúa es
cerrado). Defensor ejemplar de este punto de vista es Richard Stallman , de la Free Software Foundation y
el proyecto GNU1:
“Una de las razones por las que no debes usar aplicaciones web para tus tareas de TI, es que pierdes el
control. Tú debes estar en condiciones de realizar tus propias tareas en tu propio PC, en un programa
1 www.stallman.org/ unit, consultado el 20-11-2011
Página 4 de 23
amante de la libertad. Si usas un programa propiedad de un proveedor, o el servidor Web de otra persona,
entonces quedas indefenso…el cloud computing es una trampa”.
También el presidente de Oracle, Larry Ellison, calificaba la tendencia como fenómeno pasajero.
La solución, a la que apuntaba O´Reilly: los FLOSS o sistemas operativos libres, para la nube.
Sin duda, el tema tiene una trascendencia importante: como bien comenta Hugh Macleod2:
“el cloud computing es la verdadera batalla importante en este momento en la escena tecnológica: las
compañías que dominen “la nube” serán los verdaderos actores del futuro, con esquemas de
concentración muy importantes debido a la misma naturaleza de la actividad”
Y si pensamos en monopolios es lógico que asuste el anuncio sobre el lanzamiento, por parte de
Microsoft de Azure, su trampolín a un posible futuro en el ámbito de las plataformas, un sistema
operativo que minimiza su papel en el escritorio y pretende ser el camino hacia las empresas en la nube,
(Livemesh es la suya particular) donde comprarán espacios y servicios para alojar datacenter y sistemas
que ahora alojan y mantienen en sus propias instalaciones.
Las empresas argentinas y el marco legal, geográfico e institucional , ¿Está listo para enfrentar esta
revolución? Este trabajo intenta probar que no, porque se descuidan roles de gobernancia imprescindibles
para el normal manejo de la organización en su entorno.
Este trabajo en la sección 1 destacará los conceptos más importantes a tener en cuenta como marco del
análisis. En la sección 2 se explica el objeto del trabajo, los aspectos del tema presentado en la sección 1
que se desarrollarán y el contexto específico elegido. En la sección 3 se desarrollan los argumentos
empíricos, numéricos, de factibilidad de aquello que ha sido propuesto en la sección anterior. En la
2 http://microcambios.com/tag/hugh-mcleod/, consultado el 20-11-2011
Página 5 de 23
sección 4 se analizará el escenario actual en la Argentina y sus posibilidades y por último se harán
conclusiones.
Sección 1: Marco conceptual
1.1 El vocabulario básico de la Gobernancia3
Los inicios de la expresión “Corporate Governance” nacen en la década de los setenta para las grandes
corporaciones, pero es una expresión desafortunada, puesto que Gobernancia es un tema de aplicación y
de estudio para cualquier organización del sector privado, ya que todas requieren el diseño de su gobierno
y su implementación práctica.
Una definición operativa del concepto dice que es un campo de estudio y aplicación cuyas tareas
principales son las siguientes:
• Carta fundacional de la organización, estatutos y códigos de buena práctica.
• Estructura de propiedad
• Directorios: Su constitución y asignación de derechos de control; rol fiduciario hacia los
propietarios
• Rol fiduciario de la alta Gerencia y sus derechos decisorios
• Compromisos y responsabilidades ( Accountability )
• Derechos de propiedad y cláusulas de salvaguarda para los inversores
• Administración de los conflictos de intereses entre los accionistas, acreedores, alta gerencia y
otros stakeholders
• Producción oportuna, relevante y comprobable de información ( transparencia)
• Planes de compensación, desempeños e incentivos para la alta Gerencia y el Directorio.
3 Estos conceptos fueron tomados de apuntes del curso de Gobernancia Corporativa del Dr. Rodolfo Apreda en la UCEMA, en el tercer trimestre del año 2011.
Página 6 de 23
• Evitación de los comportamientos de búsqueda de rentas oportunísticas y de complaciente
dispendio presupuestario
• Administración de riesgos: a) de cumplimiento de normas internas de la empresa, asi como de
las convenciones y leyes del marco institucional. b) Del rol fiduciario de Directores y Gerentes
Se destacan cuatro componentes claves: los Stakeholders ( reclamantes), el rol fiduciario, la
accountability ( compromisos y responsabilidades) y la transparencia, esto desde el enfoque de Basilea.
1.1.1 Los Stakeholders ( los reclamantes )
Diremos que XYZ es un stakeholder de cierta organización privada cuando ocurren dos cosas: a) XYZ
tiene la capacidad de reclamar algo de ella, de manera persistente y a lo largo del tiempo. b) XYZ es
afectado tanto por el éxito como por el fracaso de la organización.
Estos son los principales Stakeholders de la empresa: Los accionistas, los miembros del Directorio, la
alta Gerencia, los acreedores (bonistas o bancos) , los proveedores, el Gobierno, las Comunidades
afectadas por daño ambiental, Personal y Sindicatos y los Clientes o Usuarios.
1.1.2 El rol fiduciario
Es una relación que solicita al menos dos participantes: en primer lugar el fiduciario, en segundo lugar,
los beneficiarios. Esta relación requiere el cumplimiento de dos condiciones: a) El fiduciario se
compromete a cuidar los intereses y lograr los objetivos encomendados por los beneficiarios económicos
o políticos a los que representa. b) Con la misma diligencia, lealtad y buena fe que pondría cualquier
agente tanto en cuidado como en la defensa de sus propios intereses y objetivos.
En la empresa claramente se percibe el rol fiduciario de la Alta Gerencia al Directorio y del Directorio
hacia los accionistas o dueños.
Página 7 de 23
1.1.3 Compromisos y responsabilidades ( Accountability)
Es el proceso que consiste en hacerse cargo de los compromisos que asumimos y rendir cuentas por el
desempeño manifestado al ponerlos en práctica. De manera inevitable, cualquiera sea la Gobernancia que
se diseñe, en toda organización hay tensión entre los flujos descendentes de autoridad que se delegan y
los flujos ascendentes de accountability que se reclama.
Balancear los flujos de autoridad y accountability para que sean eficaces y funcionales a cada
organización es parte de la teoría y del arte de la organización empresarial.
1.1.4 Transparencia ( El enfoque de Basilea )
La información es transparente cuando se la produce de acuerdo a las siguientes condiciones: Oportuna en
el tiempo, confiable, relevante y objetivamente comprobable.
1.1.5 Códigos de Buenas Prácticas
Conjuntos de reglas de conducta que permiten una estructura de Gobernancia específica tener efectos
observables en la realidad, estableciendo compromisos y responsabilidades.
Estos conjuntos de reglas, para volverse creibles y respetados, deben satisfacer las siguientes
restricciones: Necesariamente deben provenir de la estructura de Gobernancia subyacente , deben
conciliar con el esquema institucional vigente, respetar la ley y deben resultar operacionales: esto es que
las reglas admitan: el monitoreo, la evaluación, la actualización y el cambio de las mismas.
1.1.6 La Carta Fundacional
Esta es la Constitución original de una organización. Con el trancurso del tiempo, se agregarán cambios, o
enmiendas en la Constitución original.
Página 8 de 23
Además, la organización irá incorporando by-laws o estatutos internos, para enfrentar nuevas situaciones
o procesos que no requieran cambiar la Constitución.
1.1.7 El Estatuto de Gobernancia
Se está expandiendo en los países más desarrollados el diseño y utilización de un estatuto de gobernancia
caracterizado por dos componentes:
a) Un conjunto de principios o preceptos de gobernancia
b) De cada principio se desprende un conjunto de buenas prácticas.
1.1.8 Gobernancia regulatoria y discrecional
En la gobernancia discrecional, la organización autoregula sólo algunos aspectos de su gobernancia, en la
regulatoria los marcos regulatorios condicionan , definen u obligan a las organizaciones en otros aspectos
de su gobernancia.
1.2 Cloud Computing
La nube no es nueva, desde hace muchos años, todos la estamos usando sin darnos cuenta. La mayoría de
los especialistas que estudian el fenómeno coinciden que la gran prueba piloto en la historia de la nube,
fueron los servicios de correo, tipo Web, Hotmail, Yahoo Mail y Gmail, que vienen flotando por las
nubes desde tiempo atrás. Todos ellos pasaron por las mismas penurias y alegrías que las organizaciones
están pasando al entrar a este nuevo mundo en la actualidad. Originalmente ninguno de esos productos
nació para cubrir las necesidades del sistema corporativo , por lo cual la eficiencia no era tan importante
en sus comienzos, pero de esos sistemas lograron pasar de ser un producto hogareño a complejos sistemas
empresariales que, hoy en día, satisfacen las necesidades de muchas organizaciones.
En los últimos tiempos se ha puesto de moda el término Cloud Computing, el cual está causando una gran
confusión en su entorno debido a la cantidad de tecnologías que involucra y que, si bien por cuestiones de
Página 9 de 23
marketing y mercado, conviene decir que es un nuevo concepto en realidad significa llevar servicios –
que ya se conocían y se consumían – a Internet ( la nube)
Si se toma la definición brindada por NIST 4: “Cloud Computing es un modelo que permite el acceso bajo
demanda a un conjunto compartido de recursos informáticos configurables, de los cuales se puede
disponer rápidamente con una gestión mínima de esfuerzos. Promueve la disponibilidad y se compone de
distintas características, modelos de servicio e implementación”. Básicamente es la tendencia a basar las
aplicaciones en servicios alojados de forma externa, en la Web.
En palabras simples y para desmitificar este término, Cloud Computing significa almacenar y procesar
información en grandes centros de cómputos en distintos lugares del mundo. Estos centros de cómputos
son propiedad de las empresas que brindan el servicio y en los que se deberá “confiar”. Aunque parezca
paradójico, este modelo se relaciona con el viejo concepto de información centralizada ya conocido de los
’60 y ’70 pero en centros distribuidos en varios países.
Este “movimiento” de información y de ciertos procesos del negocio hacia la nube incluye desafíos entre
los cuales se destacan principalmente el uso de la tecnología , la privacidad, la jurisdicción, la regulación
y la legislación internacional, la apropiada gestión de riesgos, auditoría y controles internos y los
contratos de servicios que deberán ser firmados entre el cliente y el proveedor del servicio en la nube. La
nube es Internet y la tecnología usada para acceder a la nube es la misma ya disponible para acceder a la
misma: una computadora o smartphone, un sistema operativo, un navegador y conectividad.
4 Definición de Cloud Computing de NIST : http://www.nist.gov/itl/cloud/upload/cloud-def-v15.pdf
Página 10 de 23
Sección 2: Descripción del problema
El Cloud Computing presenta nuevos desafíos en términos de seguridad para las áreas de TI de las
organizaciones de todos los tamaños. Para comprender cómo funciona el cloud es necesario tener en
cuenta factores como Infraestructura, Arquitectura de la Información, Personas y Procesos, y
Certificaciones que son la base de la confiabilidad del trabajo en la nube.
Tiempo atrás, los departamentos de TI debían dedicar una buena parte de su tiempo a implementar,
mantener, proteger y actualizar proyectos, que con frecuencia, no representaban un valor agregado para la
compañía.
Hoy en día, son cada vez más las empresas que están adoptando un nuevo paradigma que es la tecnología
del Cloud Computing que permite trabajar de forma simple, rápida y a muy bajos costos, dando lugar a
los equipos de TI a emplear su valioso tiempo en actividades más estratégicas que tengan mayor impacto
en el negocio.
Este nuevo paradigma presenta la oportunidad de renovación y de innovación acerca de cómo se puede
optimizar la utilización de recursos tecnológicos en los ambientes organizacionales.
Su implementación brinda a las empresas beneficios como la reducción de costos, la creación de entornos
colaborativos, la optimización de recursos y la disponibilidad de las aplicaciones y de la información
incorporando la movilidad.
Dos estudios muestran datos muy relevantes al respecto;
1) El 35% de la fuerza laboral será móvil en 2013- (IDC 2010)5
2) El acceso móvil incrementa la productividad 2,8 veces – Telegraph Media Group, 20106
5 www.idclatin.com/argentina/ consultado el 20-11-2011 6 www.telegraph.co.uk/ consultado el 20-11-2011
Página 11 de 23
La Arquitectura del Cloud Computing está definida por la capacidad de los datos de residir en diversos
servidores que no están dentro de las instalaciones de la organización y que son recursos compartidos
donde los usuarios pueden acceder desde cualquier lugar y utilizando cualquier dispositivo porque la
información está en la nube.
Por esta razón es que la seguridad es uno de los grandes desafíos para quienes ofrecen soluciones en la
nube. Y la pregunta recurrente por parte de quienes están evaluando hacer un cambio y pasarse a este
nuevo paradigma es :¿Cómo se protegen los datos?
Pero el Cloud Computing está diseñado para brindar seguridad y protección de los datos, sobre todo si
tenemos en cuenta, por ejemplo lo que dice la siguiente nota:
“El costo de las notebooks/PC robadas o extraviadas es alarmante.7
En 2004 se produjeron más de 600.000 robos de notebook que generaron aproximadamente 700
millones de dólares en pérdidas y 6.200 millones de dólares relacionados con el robo de información
particular.
El 47% de los profesionales entrevistados dedicados a la seguridad de las computadoras informó un
robo de notebook en los últimos doce meses.
De 2005 a 2006 hubo un aumento del 81% en el número de compañías que informó robos de notebooks
que contenían información delicada.
Los agentes de Gartner afirman que hay un 10% de probabilidad de que se roben una notebook y un 20%
de que se pierda o extravíe.
De acuerdo con el FBI, una de cada diez notebook será robada ( y con ellas todo lo almacenado ) en el
plazo de 12 meses a partir de la fecha de la compra. El 90% no se recuperará nunca.”
La nube de Google, a través de la infraestructura sobre la cual se apoya, permite brindar a los usuarios no
sólo fácil escalabilidad, reducción en sus costos y alta disponibilidad; sino también seguridad en el
almacenamiento de la información.
7 http://www.hp.com/latam/ar/pyme/servicios/computrace.html, consultado el 20-11-2011
Página 12 de 23
La seguridad física es uno de los puntos relevantes a la hora de hablar de protección de información. Se
trata, por un lado, del monitoreo sobre el acceso de personas a los centros de datos y por otro, de la
calidad de los servidores donde se guarda la información.
En esta cuestión Google es el primer productor de servidores para uso propio, lo que garantiza que cada
uno de ellos es creado bajo las mismas normas y en caso de tener que reemplazar uno, se hará por otro
exactamente igual, no afectando a la información almacenada. El control completo sobre el hardware y el
software de los servidores permite diseñarlos con lo mínimo indispensable para su funcionamiento,
reduciendo de esta manera vulnerabilidades típicas de un servidor de propósito general.
El acceso a los centros de datos de Google es restringido sólo para el personal autorizado, que se
identifica tanto con credenciales personalizadas, como a través de un sistema de reconocimiento
biométrico. Además, cuentan con sistemas de sistemas de seguridad 24hs, monitoreo de cámara constante
y el lugar físico donde se ubica el centro de datos no es de público conocimiento. Estas son algunas de las
políticas de seguridad que se pueden implementar para garantizar la seguridad y protección de la
información de las organizaciones cliente y usuario.
La protección de datos en los servidores es otro de los factores que garantizan seguridad. Cómo son
guardados los datos dentro del servidor, la frecuencia con la que se realiza backup y la encriptación de los
datos, son factores condicionantes.
Almacenar los datos en múltiples locaciones y hacer backup constante brinda al usuario la certeza de que
sus datos están protegidos y no pueden perderse, borrarse ni desaparecer, una de las consultas más
frecuentes cuando de Cloud Computing se trata.
Asignar un nombre al azar a cada archivo y encriptar la información para que no sea legible, colabora con
la protección y seguridad de los datos guardados en los servidores, dentro de los centros de datos de
Google.
Y , ¿qué pasa con los servidores cuando necesitan ser reemplazados?
Página 13 de 23
La posibilidad de que un servidor falle siempre existe y, de hacerlo, debe ser reemplazado por uno nuevo.
Lo mismo ocurre cuando los mismos cumplen con su vida útil programada. Para proteger la información
de los usuarios, lo ideal es contar con sistemas de destrucción que garanticen que nunca más podrá
accederse a esa información, que alguna vez estuvo almacenada allí. Google cuenta con un sistema de
destrucción de discos de almacenamiento, diseñado exclusivamente para garantizar la completa
destrucción de la información.
Se pueden brindar distintas funcionalidades de producto que permiten garantizar la seguridad y la
protección de los datos de los usuarios. Para este fin, en Google ofrecen : verificación en 2 pasos,
encriptación SSL por defecto, visualización de documentos adjuntos y gestión de dispositivos móviles
dentro del navegador, y muchas otras capacidades de seguridad y administrativas.
Una de las maneras en la que los clientes pueden estar seguros de que sus datos están protegidos, es a
través de auditorías y certificaciones de terceros. Google Apps cuenta con la certificación FISMA
(otorgada por el Gobierno de los EEUU), y con la certificación SSAE 16 Tipo II, y su versión
internacional que es la certificación ISAE 3402 Tipo II, que avalan el trabajo de la compañía en materia
de seguridad, control y protección de la información.
El Cloud Computing es una nueva tecnología en constante evolución. Las empresas trabajan día a día
junto a sus equipos para mejorar las aplicaciones y poder brindar a sus usuarios los mejores productos del
mercado,, con tecnología de punta. Contar con una buena reputación en cuanto a seguridad y protección
de la información es la clave del éxito de este nuevo paradigma, que ya fue elegido por más de 4 millones
de organizaciones alrededor del mundo.
Buenas prácticas: las principales 10 ventajas más mencionadas por los clientes cuando hablan de
protección, de datos y de confiabilidad son:
1. Poderosas herramientas de administración que proporcionan a los administradores, control sobre
los datos.
Página 14 de 23
2. Una arquitectura de nube pura y probada, ya que la infraestructura de los servidores debe estar
específicamente diseñada y desarrollada para las aplicaciones y no incluir hardware innecesario
o código de software como puertos periféricos o drivers de dispositivos.
3. La administración de los parches, que ya no es más una tarea complicada para los departamentos
de TI, porque el proveedor Cloud administra los servidores y se ocupa de todas las
actualizaciones.
4. Fuerte Autenticación. Las empresas y organizaciones pueden implementar fácilmente una capa
extra de protección para las cuentas de sus usuarios usando los dispositivos que ya tienen.
5. Recuperación ante desastres que son comúnmente medidas a través de cuánto tiempo pasará
desde que ocurre una falla hasta que los usuarios pueden accedan al sistema; y el nivel de
corrupción que puede aparecer en los datos una vez que son restaurados.
6. Auditorías hechas por terceras partes, que garantizan y autentifican el trabajo de la compañía en
cuanto a seguridad, control y protección de la información.
7. Experiencia en seguridad de la información, con un equipo enfocado y dedicado a la misma con
una vasta experiencia y conocimiento.
8. Conexiones seguras para los usuarios, que ayuda a proteger los datos mientras viajan desde los
navegadores de los usuarios hasta los datacenters.
9. Alta disponibilidad, ya que no deben haber tiempos planeados de inactividad ni de baja del
sistema por mantenimiento.
10. Reducción del riesgo en la filtración de datos, gracias a que los datos están alojados de manera
central en la nube , lo cual reduce en gran medida la necesidad de que los usuarios deban llevar
esos datos consigo utilizando USBs u otros dispositivos similares, que pueden perderse o ser
robados fácilmente.
Es en función de estos conceptos que se encuentra la razón de ser de este trabajo, ya que se considera
importante desarrollar los efectos de este nuevo paradigma tecnológico que impulsan empresas del nivel
de Google respecto a las actuales normas de Gobernancia de las empresas.
Este paradigma en resumen aumenta la Gobernancia discrecional en detrimento de la Gobernancia
regulatoria a niveles muy importantes.
Página 15 de 23
a) Estructura de Propiedad: Cambia el paradigma tradicional al ser el propietario de la
infraestructura de datos y sus soportes, no la propia empresa , sino un proveedor.
b) Rol fiduciario: Es afectado ya que una parte muy importante del proceso decisorio necesario
para la correcta consecución de los objetivos radica en el manejo de la información que ahora no
tiene la empresa sino un proveedor al que se le confía la tarea de actualización y archivo de ella.
c) Accountability: Ahora este proveedor pasa a ocupar un lugar que desdibuja la medición de la
performance de un empleado de la organización, ya que no puede hacer nada ante la rotura de un
servidor por ejemplo.
d) Código de Buenas Prácticas: Pasan a ser imprescindibles en el cumplimiento, no las propias
buenas prácticas, sino las del proveedor de la nube.
e) Planes de compensación de la Alta Gerencia: Se miden en base a información que ya no está en
poder de la empresa., eso supone un riesgo de corrupción importante, ya que se puede alterar un
insumo para generar un reporte falso. Se da la problemática de principal y agente, al no ser quien
edita los informes alguien que puede controlar la veracidad de los mismos.
f) Comportamientos oportunísticos, como el complaciente dispendio presupuestario toman un rol
crucial, ya que la dependencia de un proveedor de estas características puede ser un gasto muy
importante para la empresa.
g) El tuneleo: Se podría trabajar con información de la empresa a espaldas de la propia empresa por
acuerdo de empleados y lograr información no autorizada por la empresa, que podría afectar
seriamente su performance frente a la competencia.
Este trabajo intenta mostrar lo terrible que puede ser para una empresa argentina involucrarse en este
paradigma sin tomar los recaudos correspondientes.
Sección 3: Elementos empíricos
En la década de 1990, surgió un nuevo contexto de negocios, caracterizado por modificaciones en el
macroentorno, cambios en la forma de organizarse de las empresas ( Hatum, 2007), y una transformación
Página 16 de 23
demográfica. Las modificaciones en el macroentorno que afectan a los negocios han sido forjadas por una
aceleración en el ritmo del cambio en los mundos económico, social, tecnológico y político.
March ( 1995), subraya cuatro factores para el aumento del grado de volatilidad e incertidumbre en el
ambiente en que operan las empresas; la vinculación global, es decir, las redes comerciales que
multiplican las interdependencias globales y que eliminan las fronteras nacionales; la tecnología de la
información que incrementa las posibilidades de coordinar y controlar las organizaciones; la competencia
basada en el conocimiento , es decir el uso del conocimiento como fuente principal de la ventaja
competitiva, y la incertidumbre política, es decir, la pérdida de autonomía del Estado Nacional a través de
una pérdida general del control de las fronteras. Todos estos factores han hecho que se intensificara la
competencia, que se acortaran los ciclos de vida de los productos, y que aumentara la innovación
tecnológica, en suma, estos factores han llevado a la hipercompetencia. En este contexto D’ Aveni (1994)
considera que, para los gerentes, la elección es clara: o se inmovilizan y resisten los cambios en el
ambiente, o se adaptan activamente y aprovechan sus oportunidades. D’Aveni (1994, p.36) señala que en
un mundo dinámico , solo sobrevivirán las empresas dinámicas que puedan adaptarse rápidamente a los
ambientes hipercompetitivos.
El aumento en la volatilidad y la incertidumbre está moldeando el mundo en que vivimos. En realidad, la
crisis financiera y económica de 2008/09 , que ha generado caídas del mercado en todo el mundo , en una
escala no vista desde la década de 1930 , puede tener consecuencias todavía no percibidas para la forma
en que trabajamos, nos organizamos y competimos ( Beechler y Woodward, 2009 )
La gobernabilidad de las tecnologías de información, o Gobernabilidad TI es un subconjunto de la
disciplina Gobernabilidad Corporativa enfocada a los sistemas correspondientes a las tecnologías de
información y, a la gestión de su performance y riesgos. El aumento del interés por la Gobernabilidad TI
se debe a las nuevas obligaciones para las empresas, que han surgido debido a regulaciones como la
Sarbanes-Oxley (USA) y Basel II (Europa), como también a que frecuentemente los proyectos TI se van
fuera de control y afectan profundamente los resultados de las compañías.
Un aspecto fundamental que tiene que ver con la Gobernabilidad TI es que los sistemas de información ya
no pueden ser considerados como cajas negras. Hoy tanto los directores de las empresas, como sus
Página 17 de 23
ejecutivos y personal deben tener un conocimiento respecto a cuales son sus funciones y como generan la
información. Por otra parte las nuevas regulaciones hacen responsables tanto a los directores como a los
gerentes de las compañías. Nolan, R y Mc Farlan ( 2005) consideran:
El directorio necesita comprender la arquitectura global del portafolio de aplicaciones informáticas de
su empresa … El directorio debe asegurarse que la administración conoce que recursos de información
dispone, bajo que condición se han generado, y que rol juegan en la generación de los resultados…
Para contextualizar con la realidad, cual es la opinión que tienen los directores de la situación actual de la
TI, a continuación van algunas conclusiones obtenidas de la encuesta realizada en el año 2005 por el IT
Governance Institute (ITGI) en 22 países.8
• Las TI son más críticas que nunca para el negocio.
Para el 87 por ciento de los participantes, las TI son muy importantes para hacer realidad las estrategias y
visiones corporativas. Para el 63 por ciento de los encuestados, las TI están regularmente o siempre en la
agenda del directorio.
• Los gerentes generales tienen un sentimiento más positivo hacia las TI que los gerentes de
TI.
Los gerentes generales le asignan a las TI un nivel de criticidad e importancia mayor que el que les dan
los gerentes de TI. Adicionalmente, los gerentes generales están más satisfechos con las TI y con el
alineamiento de la estrategia con el negocio.
• Existen diferencias significativas entre los distintos sectores industriales.
Los servicios de IT/telecom y financieros son los con más desarrollo en la Gobernabilidad TI. Mientras
que el retail y la industria manufacturera van más atrás. Esto es concordante con el grado de importancia
estratégica que le asignan estos sectores a las TI.
• El staff de TI es el problema más importante relacionado con las TI.
Cuando se analizan todos los aspectos de un problema (relacionado con TI), tales como la frecuencia de
8 Esta encuesta se puede encontrar en http://www.qualified-audit-partners.be/user_files/ITforBoards/GVIT_ITGI_IT_Governance_Global_Status_Report_-_2006_2006.pdf. Fecha de consulta en la web: 20-11-2011
Página 18 de 23
ocurrencia, la severidad del problema y su evolución futura, el staff TI surge como el problema TI más
importante.
• La seguridad TI no es el problema más importante relacionado con las TI
Cuando se consideran todas las 8 categorías de problemas TI considerados en la encuesta, la seguridad
ocupa el último lugar en el ranking.
Consultado a los ejecutivos de las empresas dijeron revelaciones sorprendentes9 :
Las prácticas de IT Governance deben ser mejoradas.
1. Tres cuartas partes de las organizaciones consultadas consideran IT Governance una parte de la
Gobernancia integral de la empresa, pero la madurez en la implementación de esto es muy baja.
2. La mayoría de los que respondieron dicen que el Equipo Ejecutivo de la empresa es accountable
por el IT Governance dentro de la empresa, pero delegan una porción importante de las
actividades de Gobernancia, algunas de las cuales no son asumidas de manera total.
3. En el 40% de las organizaciones entrevistadas, el CIO ( Chief Intelligent Officer) , no es
miembro del equipo ejecutivo de la empresa.
4. Casi la mitad de los que contestaron esta encuesta no miden el valor creado por las inversiones
en IT.
Por último , tomamos como referencia empírica global, el Global Status Report on the Governance of
Enterprise IT ( GEIT ) del año 201110, la encuesta que cubrió 21 países, 10 industrias y empresas grandes
y pequeñas y vemos que:
1. Existe foco en la Gobernancia – Governance of Enterprise IT ( GEIT) es una prioridad para la mayoría
de las empresas, solamente 5% indicó que no lo consideraba importante.
2. Dias nublados- Los encuestados manifestaron que su cabeza estaba en las nubes. 60% están usando o
piensan usar Cloud Computing para servicios no críticos de IT. Y cerca del 40% lo piensa usar en
misiones críticas de IT. Las empresas que no tienen planes de usarlo son básicamente por razones de
privacidad de los datos y dudas respecto a la seguridad del sistema.
9 Esta encuesta se puede encontrar en http://www.isaca.org/Knowledge-Center/Research/Documents/An-Executive-View-of-IT-Gov-Research.pdf. Fecha de consulta en la web: 20-11-2011 10 Esta encuesta se puede encontrar en : http://www.isaca.org/Knowledge-Center/Research/Documents/Global-Status-Report-GEIT-10Jan2011-Research.pdf, consultado el 20-11-2011
Página 19 de 23
Sección 4: Contexto del problema y situación en la Argentina
En el año 2010 se organizó el 1er Congreso Internacional de Cloud Computing “Cloud Summit Argentina
2010”, en el cual desfilaron los especialistas de las empresas más importantes del mundo, donde la
modalidad del mismo eran mesas redondas para debate de los puntos más complejos de la nube. Desde
ya, hubo varios temas en los cuales casi todos estaban de acuerdo, en especial las bondades de este nuevo
mundo, entre las cuales se encuentran las siguientes:
• Reducción de costos: esta es la ventaja más visible, solo se paga por lo que se usa, sin tener que
gastar grandes sumas de dinero en infraestructura de tecnología, ni su concerniente costo de
operación y mantenimiento.
• Movilidad y portabilidad: al estar los sistemas en la nube ( la cual puede ser Internet ) y poder ser
utilizados desde un simple navegador, permite acceder a los mismos desde una variedad muy
importante de dispositivos y locaciones, por lo cual el trabajo remoto es cada vez más sencillo y
rentable.
• Alta disponibilidad: Los estándares de disponibilidad de las empresas que brindan este tipo de
servicios se caracterizan por tener muchos nueves después de la coma, esto lo logran teniendo centros
de cómputos gigantes distribuidos en varios puntos del globo, ofreciendo una tasa de disponibilidad
que jamás se podría reproducir en sistemas in-house.
• Escalabilidad: este es otro punto muy ventajoso, ya que permite crecer en servicios a la par del
negocio, sin tener que hacer erogaciones importantes para la puesta en marcha, dando la agilidad
suficiente para crecer o decrecer según lo dicten las condiciones del mercado.
Pero no todas son rosas en el mundo de las nubes, como toda nueva ola tecnológica tiene varios puntos a
tener en cuenta antes de entrar a este mundo.
Algunos de los frentes de tormenta son:
Página 20 de 23
• Confianza en el proveedor: el punto más importante; ya que se debe elegir un proveedor con
probada experiencia en el rubro, que tenga presencia real en el país, ya que como analizaremos en los
próximos puntos ellos tendrán en su poder toda la información con todo lo que ello significa.
• Marco Legal: este es otro punto clave y sobre el cual, en el Cloud Summit del año pasado, se
desarrolló el mayor debate. Es fundamental saber donde están almacenados los datos para conocer las
normativas legales que aplican sobre los mismos. Si los datos están almacenados en territorio de los
EEUU, el USA PATRIOT ACT permite al gobierno de los EEUU monitorear la información para
prevenir ataques terroristas. Con este antecedente, si es una organización gubernamental por ejemplo,
¿le gustaría dejar esa puerta abierta a la información?
• Infraestructura de Comunicaciones: ya que los sistemas se encuentran fuera de los edificios, la
red de comunicaciones para llegar hacia los datos debe estar diseñada para no correr peligro de
cortes, más aun, si las locaciones se encuentren lejos de los puntos de mayor intercambio de
información.
• Seguridad: el otro punto álgido. La seguridad está en manos del proveedor, por lo cual sus
problemas ahora son los problemas de quien lo contrata. La confianza en el proveedor es primordial.
• Recuperación de la Información: aunque realmente es muy difícil, el proveedor debería proveer o
mostrar cuáles son los mecanismos de recuperación ante desastres, ya que la información está en sus
manos y la experiencia cuenta que grandes empresas del rubro tuvieron problemas con este tema.
• Contratos: los contratos deben ser bien claros en cuanto a algunos puntos, en especial a la
posibilidad de terminar el servicio y poder llevarse la información en cualquier momento. Además de
dejar en claro bajo que jurisdicción legal son aplicables los mismos, ya que en este punto existe un
gran vacío legal.
Situación en la Argentina
Cloud en Argentina no es lo mismo que en otras partes del mundo .
Empezando por la red de comunicaciones de la República Argentina donde encontramos importantes
ciudades del interior donde llega solo un carrier de datos, obviamente cualquier falla en la red dejaría
inutilizados todos los servicios de la nube. En este punto es importante destacar el trabajo de CABASE, la
Página 21 de 23
Cámara Argentina de Internet , que desde el año pasado, desarrolla NAPs en el interior del país ( puntos
de encuentro de las redes de datos para intercambiar tráfico y así acelerar y optimizar el uso de Internet )
federalizando el acceso a Internet, permitiendo mayor disponibilidad en todo el país.
El otro punto es lo legal, actualmente se firman contratos fuera del país, donde las regulaciones son
propias del país de origen y no suelen adaptarse a las medidas locales, es más, algunos proveedores no
tienen representación legal en la Argentina.
En cuanto a los servicios brindados desde nuestro país, podemos encontrar algunas soluciones que pueden
ser interesantes a tener en cuenta, más aun cuando empresas con datacenter locales ofrecen servicios
hosteados de empresas internacionales, de esta manera existe un servicio ofrecido desde datacenters
nacionales con tecnología probada de los grandes jugadores a nivel mundial.
¿Podrá la Argentina tener alguno de los centros de cómputos si el costo operacional es más bajo que en
los países de orígen?
El problema es la provisión ininterrumpida de energía eléctrica, que es el principal insumo del datacenter,
pero como uno de los principales ítems de consumo energético es la refrigeración de los equipos, en la
Patagonia se podría exportar frío, reduciendo en forma muy importante el consumo de energía del
datacenter , sólo faltaría asegurar la provisión contínua de la energía y convencer a los grandes jugadores
de ofrecer el servicio para la región desde la Argentina.
Página 22 de 23
CONCLUSIONES:
Las encuestas mundiales son contundentes en que la nube vino para quedarse y que puede ser una
excelente herramienta para las organizaciones. Pero claramente se ve que cuando la brecha tecnológica e
institucional entre países es importante, no es fácil integrar este concepto a la cultura de la Gobernancia
de una empresa.
La transferencia de la información a la nube puede ser excelente operativamente, pero destruye conceptos
claves de Gobernancia tradicional como el rol fiduciario, accountability, administración de riesgos y abre
la puerta a el complaciente dispendio presupuestario y al tuneleo, porque se da el problema del principal y
agente, que se traduce en que como la empresa ya no es responsable de suministrar su propia información,
ese desvío permite desligarse de compromisos , objetivos y metas por “culpa del proveedor”.
Todos hemos visto el gesto burlón con que empleados de una empresa de cobranza nos despiden de la
ventanilla en la que hacíamos cola para pagar una factura con el consabido “se cayó el sistema”, bueno,
esto puede ser llevado a niveles insospechados de corrupción sino es un proceso que se implante bien
aceitado en la organización.
Esperemos que se haga con sensatez por el bien de todos los stakeholders.
Página 23 de 23
Bibliografia:
Beechler, S. y Woodward, I.C. ( 2009 ) The global war for talent. Journal of International Management
15: 273-85.
D’Aveni, R.A. ( 1994 ). Hyper-Competition. Nueva York: The Free Press
Hatum, A ( 2007). Adaptation or Expiration in Family Firms: Organizational Flexibility in Emerging
Economies. Cheltenham: Edward Edgar
March, J.G. (1995). The future, disposable organizations and the rigidities of imagination. Organization 2
(3-4) : 427-40.
Nolan, R. and F. W. McFarlan (2005): “Information Technology and the Board of Directors.” Harvard
Business Review (October 2005).