No es sencillo descifrar el acrónimo ISACA: Information Systems Audit and Control Association. Como se verá en la entrevista que sigue, el nombre completo responde a una concepción que la asociación va extendiendo a otras áreas de actividad, particularmente a la gobernanza de los sistemas e infraestructuras de información, lo que conlleva ocuparse de temas tan actuales como la ciberseguridad y la privacidad. Entre los días 29 de este mes y 1 de octubre, la asociación ha convocado una conferencia europea en Barcelona que, conforme a su costumbre, lleva otro acrónimo: Euro CACS/ISRM, pero más llanamente tiene como tema «Las conexiones de hoy, las soluciones del mañana».
En el evento, unos 400 profesionales de las TI venidos de toda Europa van a abordar la puesta en práctica de las directrices sobre implementación de ciberseguridad, organizadas en cuatro white papers y un programa afín sobre auditoría y aseguramiento. Para conocer el alcance de la actividad de ISACA, el autor de este blog ha conversado con su vicepresidente, Ramsés Gallego.
La conferencia de Barcelona me da la ocasión de preguntarle por los objetivos y actividad de una organización que, confieso, desconocía por completo. Empecemos por ahí.
Somos una asociación de profesionales, por tanto los miembros son individuos. Lo que sí es cierto es que las empresas pueden adoptar y licenciar nuestro estándar para el gobierno de la infraestructura, pero básicamente, ISACA emite cuatro certificaciones profesionales, que son reconocidas como un respaldo para trabajar en la industria de las TI.
¿O sea que las compañías son usuarias?
Las compañías usan la tecnología, y como la tecnología es ´pervasiva`, al final tienen necesidad de auditarla, principalmente en razón de las regulaciones. Por tanto, nuestros miembros que poseen un CISA, el acrónimo de Certified Information Security Auditor. Los otros tres niveles de certificación que tenemos se refieren al conjunto de conocimientos que influyen a la hora de gestionar, crear y diseñar adecuadamente las reglas para que el usuario de la tecnología esté controlado y sea, digamos, visible.
Por lo que he visto, ISACA no ha nacido ayer…
¡Qué va! Existe desde hace 45 años.
¿Y cómo se ha adaptado a tantos cambios en tanto tiempo?
Es un asunto digno de interés, porque al principio en la asociación se hablaba de auditoría, luego el léxico de la industria incorporó el control, que llevó al concepto de gobierno o gobernanza. Ahora nos encontramos con que todo está relacionado con tecnologías disruptivas, y obligan a embeber el caudal de conocimiento en paradigmas como cloud, BYOD, movilidad, Big Data, analytics, fenómenos recientes que han arraigado profundamente en nuestra profesión. Estamos implicados en la evolución tecnológica que traen consigo los wearables, el Internet de las Cosas […] y todas estas categorías plantean nuevos problemas de auditoría, control y gobernanza para ser conscientes del valor que aportan realmente. En 45 años, ISACA ha visto muchas disrupciones y se ha adaptado ofreciendo deriverables a la comunidad profesional que, evidentemente, ha crecido enormemente.
¿Hay una continuidad en esa adaptación del framework?
Necesariamente. Porque el framework tiene que ser relevante para el negocio. Personalmente, yo trabajo en Dell Software, pero este no es un mundo encerrado en la tecnología: es un mundo de negocio, en el que la tecnología tiene que estar al servicio del negocio. Está bien que los productos y las soluciones sean bonitas, ´amigables`, que tengan cuadros de mando muy coloridos, pero el objetivo es aportar valor al negocio, y eso es lo que en definitiva hacemos.
¿A qué deliverables se refería en su respuesta anterior?
Como media cada 18 días, esta asociación emite un ´entregable`, como por ejemplo la guía de aseguramiento y auditoría para protocolos IPv6,la guía de control y aseguramiento para Exchange, cómo asegurar que tu SAP es correcto. Como he dicho, COBIT 5 está en constante evolución y cubre 37 procesos. No es una abstracción: ¿cuáles son las preguntas que un consejo de administración debe hacerse para comprender el valor que se deriva de las TI? Me parece que 18 días es una media que habla de la intensidad del compromiso de ISACA para conseguir que las TI sean seguras, que funcionen en un mundo en el que la privacidad es vital para las empresas, en el que hay regulaciones, autoridades de supervisión. Las cuestiones que subyacen son: ¿qué sociedad queremos?, ¿qué comunidad representamos?, ¿cómo responder a las amenazas persistentes – las APT – en un mundo que cambia a la velocidad de la luz?
Hábleme de la adaptación al negocio […]
La gobernanza, tal como ha sido definida por el NIST (National Institute of Standards and Technology) tiene cuatro pilares fundamentales: aportar valor estratégico a largo plazo, garantizar que los objetivos se cumplen a corto, … daría para otra conversación, y no voy a entrar en la estrategia y la táctica, pero los otros dos pilares de la definición de gobernanza indican que se ha de garantizar que los riesgos se minimizan y los recursos se utilizan de manera responsable. Por tanto, cuando hablamos de gobernanza, hablamos de recursos: hablamos de la red, del móvil que llevo en el bolsillo […] Es interesante que se use el verbo gobernar en lugar de gestionar, y COBIT 5 hace una diferencia instrumental. De la misma manera que hablamos de gobernar un país no de gestionar un país; gestionamos recursos y presupuestos, pero un país se gobierna para asegurar el uso responsable de los recursos. ¿Quién accede y cómo accede? Desde un punto de vista regulatorio y legislativo, si quieres dar valor, bajo la lupa del negocio, lo importante es quién accede a la información y cómo accede.
Hace años, los CIO, antes llamados directores de sistemas, garantizaban un nivel de servicio […]
Claro. Pero no sólo ha cambiado la figura funcional. Hoy el entorno regulatorio es masivo. Una empresa está sujeta, por ejemplo a la LOPD, un banco está sujeto a regulaciones cada vez más estrictas, ahora mismo todavía más. Como individuos, como sujetos, tenemos que contar con un corsé regulatorio que nos protege y nos obliga. Hace años no era así. Claro que había auditores internos y externos, pero hoy el concepto que vale es el de assurance, que no tiene otra traducción que garantía, estar seguro de que algo es como alguien me dice que es […] lo que hace años no era así, ahora es fundamental.
Hay un cierto papel de intermediacion […]
La importante es distinguir al que tiene intereses en el negocio del que tiene intereses en la propiedad. En inglés es fácil: stakeholder versus shareholder. Los dos intereses son válidos, pero ¿a quién se debe la organización? Porque la tecnología no es un fin sino un medio para obtener un valor. Esto, en COBIT 5, está magistralmente descrito; separa parte de gestión, que es la operativa, de la parte de gobierno, que implica evaluar, dirigir y monitorizar, dar una dirección para que las operaciones funcionen.
¿Cuál es la relación con los proveedores de TI?
Estrecha, naturalmente. Pero somos agnósticos en cuanto a las tecnologías. ¿La pregunta es si ISACA está asociada a algún proveedor?
Al revés.
No, en absoluto. Patrocinan algunas conferencias, pero somos y queremos ser – creo que es uno de nuestros valores – agnósticos. Somos una asociación sin ánimo de lucro, algo así como un colegio profesional, sólo que representamos a 115.000 profesionales en todo el mundo, que se dice pronto.
¿Tiene ISACA algún rasgo característico de los colegios profesionales?
No, no. Se puede ser miembro incluso sin estar certificado en una de las cuatro certificaciones
Entonces ¿no es imprescindible la certificación?
En absoluto.
Sin embargo, la certificación en el factor que distingue a la asociación …
Es fundamental porque aporta servicio. A diferencia de otras asociaciones en las que haces un examen y te certifican, ninguna de las cuatro certificaciones de ISACA se obtiene sólo con pasar un examen; hay que demostrar competencias técnicas…
¿Cuántos miembros tiene ISACA en España? ¿Por qué hay un vicepresidente español? ¿Por qué este congreso se hace en Barcelona?
De los 204 capítulos de ISACA, hay 3 en España: Madrid, Barcelona y Valencia. El más numeroso es el de Madrid y los otros están a la par. En total, unos 2.000 asociados. Yo presido el capítulo de Barcelona, y estoy orgulloso de representar a mi país en una organización que va de Singapur a Colombia. Llevo tres años en el cargo, y me acaban de renovar en el congreso de Chicago.
¿Cuál es el objetivo de la conferencia de Barcelona?
Educativo, divulgativo e informativo. De hecho, el acrónimo CACS tiene que ver con auditoría, control y seguridad. Esperamos unas 400 personas de toda Europa.
Aparte del acrónimo, ¿cuáles son sus grandes ejes?
Sin olvidar el pasado, las dos grandes olas que vemos en las que vamos a invertir nuestro tiempo son, por este orden, ciberseguridad y privacidad. El año pasado tuvimos las Cloud Series, una serie de entregables en torno a los problemas que plantea el cloud computing. No digo que esa etapa esté cerrada, pero ese concepto está suficientemente explicitado. Por eso este año creemos que seguridad y privacidad son las áreas en las que aún queda mucho por hacer.