Doctorado en Administración de Empresas (DODE)

Año 2011

Monografía para : Corporate Governance

Título: “Gobernancia en TI: Cloud Computing”

Alumno: Ferreiro Christophersen, Javier

Tutor : Dr. Rodolfo Apreda

Lugar y fecha: Buenos Aires, Noviembre 2011

Página 2 de 23

Abstract:

Gobernanza de TI es el alineamiento de las Tecnologías de la información y la comunicación (TI) con la

estrategia del negocio. Traslada las metas y la estrategia a todos los departamentos de la empresa, y

proporciona el mejor uso de la tecnología y de sus estructuras organizativas para alcanzarlas.

Este trabajo analiza un aspecto concreto de la Gobernanza de TI , que es la posibilidad de uso en

Argentina de la tecnología del Cloud Computing, esto es un paradigma en el que la información se

almacena de manera permanente en servidores de Internet y se envía a cachés temporales de cliente, lo

que incluye equipos de escritorio,smartphones, portátiles, etc.

Dado que no es lo mismo usar Cloud en Argentina que en otras partes del Mundo:

¿Cuál es el impacto hoy en los roles tradicionales de la Gobernancia ( rol fiduciario, accountability,

transparencia ) de ingresar a Cloud para una organización empresarial Argentina ? Este paper

argumenta que es contrapruducente en la actualidad para una empresa de nuestro medio ingresar a este

nuevo paradigma , sin descartar una posibilidad en el futuro si se disminuyen ciertos factores de riesgo

que se analizarán.

Página 3 de 23

Introducción

Se habla mucho estos días del término: Que nuestros datos y relaciones no estén en nuestros equipos ni

dependan del sistema operativo de nuestros equipos, sino en la red (the cloud, en las nubes).

Definido de otro modo, el Cloud computing sería la tendencia a basar las aplicaciones en servicios

alojados de forma externa, en la propia web.

Y eso es lo que está pasando en la actualidad: Google, Microsoft (el rey de las aplicaciones

empresariales), como llevan tiempo haciendo Amazon o Salesforce, empiezan a preparar productos,

sistemas operativos que desde el ordenador, los propios datacenters o la misma nube, sean seguros,

eficientes, eficaces y atractivos en definitiva para las empresas.

Así, si durante la era del PC, Microsoft Windows e Intel (“Wintel”) fueron los dueños de la gestión

empresarial, hoy, cuando la potencia física, la capacidad de las infraestructuras de banda ancha ya resulta

suficiente, son varios los que intentan repartirse el pastel de ‘Cloud’.

Existe, en paralelo a este movimiento, una corriente de pensamiento reticente, que llega a asegurar que los

sistemas operativos para la web pueden terminar con lo 2.0.

El motivo es lógico: los prosumidores (consumidores y productores de información) no son

desarrolladores de código (más si este, como en la mayoría de las plataformas en las que se interactúa es

cerrado). Defensor ejemplar de este punto de vista es Richard Stallman , de la Free Software Foundation y

el proyecto GNU1:

“Una de las razones por las que no debes usar aplicaciones web para tus tareas de TI, es que pierdes el

control. Tú debes estar en condiciones de realizar tus propias tareas en tu propio PC, en un programa

1 www.stallman.org/ unit, consultado el 20-11-2011

Página 4 de 23

amante de la libertad. Si usas un programa propiedad de un proveedor, o el servidor Web de otra persona,

entonces quedas indefenso…el cloud computing es una trampa”.

También el presidente de Oracle, Larry Ellison, calificaba la tendencia como fenómeno pasajero.

La solución, a la que apuntaba O´Reilly: los FLOSS o sistemas operativos libres, para la nube.

Sin duda, el tema tiene una trascendencia importante: como bien comenta Hugh Macleod2:

“el cloud computing es la verdadera batalla importante en este momento en la escena tecnológica: las

compañías que dominen “la nube” serán los verdaderos actores del futuro, con esquemas de

concentración muy importantes debido a la misma naturaleza de la actividad”

Y si pensamos en monopolios es lógico que asuste el anuncio sobre el lanzamiento, por parte de

Microsoft de Azure, su trampolín a un posible futuro en el ámbito de las plataformas, un sistema

operativo que minimiza su papel en el escritorio y pretende ser el camino hacia las empresas en la nube,

(Livemesh es la suya particular) donde comprarán espacios y servicios para alojar datacenter y sistemas

que ahora alojan y mantienen en sus propias instalaciones.

Las empresas argentinas y el marco legal, geográfico e institucional , ¿Está listo para enfrentar esta

revolución? Este trabajo intenta probar que no, porque se descuidan roles de gobernancia imprescindibles

para el normal manejo de la organización en su entorno.

Este trabajo en la sección 1 destacará los conceptos más importantes a tener en cuenta como marco del

análisis. En la sección 2 se explica el objeto del trabajo, los aspectos del tema presentado en la sección 1

que se desarrollarán y el contexto específico elegido. En la sección 3 se desarrollan los argumentos

empíricos, numéricos, de factibilidad de aquello que ha sido propuesto en la sección anterior. En la

2 http://microcambios.com/tag/hugh-mcleod/, consultado el 20-11-2011

Página 5 de 23

sección 4 se analizará el escenario actual en la Argentina y sus posibilidades y por último se harán

conclusiones.

Sección 1: Marco conceptual

1.1 El vocabulario básico de la Gobernancia3

Los inicios de la expresión “Corporate Governance” nacen en la década de los setenta para las grandes

corporaciones, pero es una expresión desafortunada, puesto que Gobernancia es un tema de aplicación y

de estudio para cualquier organización del sector privado, ya que todas requieren el diseño de su gobierno

y su implementación práctica.

Una definición operativa del concepto dice que es un campo de estudio y aplicación cuyas tareas

principales son las siguientes:

• Carta fundacional de la organización, estatutos y códigos de buena práctica.

• Estructura de propiedad

• Directorios: Su constitución y asignación de derechos de control; rol fiduciario hacia los

propietarios

• Rol fiduciario de la alta Gerencia y sus derechos decisorios

• Compromisos y responsabilidades ( Accountability )

• Derechos de propiedad y cláusulas de salvaguarda para los inversores

• Administración de los conflictos de intereses entre los accionistas, acreedores, alta gerencia y

otros stakeholders

• Producción oportuna, relevante y comprobable de información ( transparencia)

• Planes de compensación, desempeños e incentivos para la alta Gerencia y el Directorio.

3 Estos conceptos fueron tomados de apuntes del curso de Gobernancia Corporativa del Dr. Rodolfo Apreda en la UCEMA, en el tercer trimestre del año 2011.

Página 6 de 23

• Evitación de los comportamientos de búsqueda de rentas oportunísticas y de complaciente

dispendio presupuestario

• Administración de riesgos: a) de cumplimiento de normas internas de la empresa, asi como de

las convenciones y leyes del marco institucional. b) Del rol fiduciario de Directores y Gerentes

Se destacan cuatro componentes claves: los Stakeholders ( reclamantes), el rol fiduciario, la

accountability ( compromisos y responsabilidades) y la transparencia, esto desde el enfoque de Basilea.

1.1.1 Los Stakeholders ( los reclamantes )

Diremos que XYZ es un stakeholder de cierta organización privada cuando ocurren dos cosas: a) XYZ

tiene la capacidad de reclamar algo de ella, de manera persistente y a lo largo del tiempo. b) XYZ es

afectado tanto por el éxito como por el fracaso de la organización.

Estos son los principales Stakeholders de la empresa: Los accionistas, los miembros del Directorio, la

alta Gerencia, los acreedores (bonistas o bancos) , los proveedores, el Gobierno, las Comunidades

afectadas por daño ambiental, Personal y Sindicatos y los Clientes o Usuarios.

1.1.2 El rol fiduciario

Es una relación que solicita al menos dos participantes: en primer lugar el fiduciario, en segundo lugar,

los beneficiarios. Esta relación requiere el cumplimiento de dos condiciones: a) El fiduciario se

compromete a cuidar los intereses y lograr los objetivos encomendados por los beneficiarios económicos

o políticos a los que representa. b) Con la misma diligencia, lealtad y buena fe que pondría cualquier

agente tanto en cuidado como en la defensa de sus propios intereses y objetivos.

En la empresa claramente se percibe el rol fiduciario de la Alta Gerencia al Directorio y del Directorio

hacia los accionistas o dueños.

Página 7 de 23

1.1.3 Compromisos y responsabilidades ( Accountability)

Es el proceso que consiste en hacerse cargo de los compromisos que asumimos y rendir cuentas por el

desempeño manifestado al ponerlos en práctica. De manera inevitable, cualquiera sea la Gobernancia que

se diseñe, en toda organización hay tensión entre los flujos descendentes de autoridad que se delegan y

los flujos ascendentes de accountability que se reclama.

Balancear los flujos de autoridad y accountability para que sean eficaces y funcionales a cada

organización es parte de la teoría y del arte de la organización empresarial.

1.1.4 Transparencia ( El enfoque de Basilea )

La información es transparente cuando se la produce de acuerdo a las siguientes condiciones: Oportuna en

el tiempo, confiable, relevante y objetivamente comprobable.

1.1.5 Códigos de Buenas Prácticas

Conjuntos de reglas de conducta que permiten una estructura de Gobernancia específica tener efectos

observables en la realidad, estableciendo compromisos y responsabilidades.

Estos conjuntos de reglas, para volverse creibles y respetados, deben satisfacer las siguientes

restricciones: Necesariamente deben provenir de la estructura de Gobernancia subyacente , deben

conciliar con el esquema institucional vigente, respetar la ley y deben resultar operacionales: esto es que

las reglas admitan: el monitoreo, la evaluación, la actualización y el cambio de las mismas.

1.1.6 La Carta Fundacional

Esta es la Constitución original de una organización. Con el trancurso del tiempo, se agregarán cambios, o

enmiendas en la Constitución original.

Página 8 de 23

Además, la organización irá incorporando by-laws o estatutos internos, para enfrentar nuevas situaciones

o procesos que no requieran cambiar la Constitución.

1.1.7 El Estatuto de Gobernancia

Se está expandiendo en los países más desarrollados el diseño y utilización de un estatuto de gobernancia

caracterizado por dos componentes:

a) Un conjunto de principios o preceptos de gobernancia

b) De cada principio se desprende un conjunto de buenas prácticas.

1.1.8 Gobernancia regulatoria y discrecional

En la gobernancia discrecional, la organización autoregula sólo algunos aspectos de su gobernancia, en la

regulatoria los marcos regulatorios condicionan , definen u obligan a las organizaciones en otros aspectos

de su gobernancia.

1.2 Cloud Computing

La nube no es nueva, desde hace muchos años, todos la estamos usando sin darnos cuenta. La mayoría de

los especialistas que estudian el fenómeno coinciden que la gran prueba piloto en la historia de la nube,

fueron los servicios de correo, tipo Web, Hotmail, Yahoo Mail y Gmail, que vienen flotando por las

nubes desde tiempo atrás. Todos ellos pasaron por las mismas penurias y alegrías que las organizaciones

están pasando al entrar a este nuevo mundo en la actualidad. Originalmente ninguno de esos productos

nació para cubrir las necesidades del sistema corporativo , por lo cual la eficiencia no era tan importante

en sus comienzos, pero de esos sistemas lograron pasar de ser un producto hogareño a complejos sistemas

empresariales que, hoy en día, satisfacen las necesidades de muchas organizaciones.

En los últimos tiempos se ha puesto de moda el término Cloud Computing, el cual está causando una gran

confusión en su entorno debido a la cantidad de tecnologías que involucra y que, si bien por cuestiones de

Página 9 de 23

marketing y mercado, conviene decir que es un nuevo concepto en realidad significa llevar servicios –

que ya se conocían y se consumían – a Internet ( la nube)

Si se toma la definición brindada por NIST 4: “Cloud Computing es un modelo que permite el acceso bajo

demanda a un conjunto compartido de recursos informáticos configurables, de los cuales se puede

disponer rápidamente con una gestión mínima de esfuerzos. Promueve la disponibilidad y se compone de

distintas características, modelos de servicio e implementación”. Básicamente es la tendencia a basar las

aplicaciones en servicios alojados de forma externa, en la Web.

En palabras simples y para desmitificar este término, Cloud Computing significa almacenar y procesar

información en grandes centros de cómputos en distintos lugares del mundo. Estos centros de cómputos

son propiedad de las empresas que brindan el servicio y en los que se deberá “confiar”. Aunque parezca

paradójico, este modelo se relaciona con el viejo concepto de información centralizada ya conocido de los

’60 y ’70 pero en centros distribuidos en varios países.

Este “movimiento” de información y de ciertos procesos del negocio hacia la nube incluye desafíos entre

los cuales se destacan principalmente el uso de la tecnología , la privacidad, la jurisdicción, la regulación

y la legislación internacional, la apropiada gestión de riesgos, auditoría y controles internos y los

contratos de servicios que deberán ser firmados entre el cliente y el proveedor del servicio en la nube. La

nube es Internet y la tecnología usada para acceder a la nube es la misma ya disponible para acceder a la

misma: una computadora o smartphone, un sistema operativo, un navegador y conectividad.

4 Definición de Cloud Computing de NIST : http://www.nist.gov/itl/cloud/upload/cloud-def-v15.pdf

Página 10 de 23

Sección 2: Descripción del problema

El Cloud Computing presenta nuevos desafíos en términos de seguridad para las áreas de TI de las

organizaciones de todos los tamaños. Para comprender cómo funciona el cloud es necesario tener en

cuenta factores como Infraestructura, Arquitectura de la Información, Personas y Procesos, y

Certificaciones que son la base de la confiabilidad del trabajo en la nube.

Tiempo atrás, los departamentos de TI debían dedicar una buena parte de su tiempo a implementar,

mantener, proteger y actualizar proyectos, que con frecuencia, no representaban un valor agregado para la

compañía.

Hoy en día, son cada vez más las empresas que están adoptando un nuevo paradigma que es la tecnología

del Cloud Computing que permite trabajar de forma simple, rápida y a muy bajos costos, dando lugar a

los equipos de TI a emplear su valioso tiempo en actividades más estratégicas que tengan mayor impacto

en el negocio.

Este nuevo paradigma presenta la oportunidad de renovación y de innovación acerca de cómo se puede

optimizar la utilización de recursos tecnológicos en los ambientes organizacionales.

Su implementación brinda a las empresas beneficios como la reducción de costos, la creación de entornos

colaborativos, la optimización de recursos y la disponibilidad de las aplicaciones y de la información

incorporando la movilidad.

Dos estudios muestran datos muy relevantes al respecto;

1) El 35% de la fuerza laboral será móvil en 2013- (IDC 2010)5

2) El acceso móvil incrementa la productividad 2,8 veces – Telegraph Media Group, 20106

5 www.idclatin.com/argentina/ consultado el 20-11-2011 6 www.telegraph.co.uk/ consultado el 20-11-2011

Página 11 de 23

La Arquitectura del Cloud Computing está definida por la capacidad de los datos de residir en diversos

servidores que no están dentro de las instalaciones de la organización y que son recursos compartidos

donde los usuarios pueden acceder desde cualquier lugar y utilizando cualquier dispositivo porque la

información está en la nube.

Por esta razón es que la seguridad es uno de los grandes desafíos para quienes ofrecen soluciones en la

nube. Y la pregunta recurrente por parte de quienes están evaluando hacer un cambio y pasarse a este

nuevo paradigma es :¿Cómo se protegen los datos?

Pero el Cloud Computing está diseñado para brindar seguridad y protección de los datos, sobre todo si

tenemos en cuenta, por ejemplo lo que dice la siguiente nota:

“El costo de las notebooks/PC robadas o extraviadas es alarmante.7

En 2004 se produjeron más de 600.000 robos de notebook que generaron aproximadamente 700

millones de dólares en pérdidas y 6.200 millones de dólares relacionados con el robo de información

particular.

El 47% de los profesionales entrevistados dedicados a la seguridad de las computadoras informó un

robo de notebook en los últimos doce meses.

De 2005 a 2006 hubo un aumento del 81% en el número de compañías que informó robos de notebooks

que contenían información delicada.

Los agentes de Gartner afirman que hay un 10% de probabilidad de que se roben una notebook y un 20%

de que se pierda o extravíe.

De acuerdo con el FBI, una de cada diez notebook será robada ( y con ellas todo lo almacenado ) en el

plazo de 12 meses a partir de la fecha de la compra. El 90% no se recuperará nunca.”

La nube de Google, a través de la infraestructura sobre la cual se apoya, permite brindar a los usuarios no

sólo fácil escalabilidad, reducción en sus costos y alta disponibilidad; sino también seguridad en el

almacenamiento de la información.

7 http://www.hp.com/latam/ar/pyme/servicios/computrace.html, consultado el 20-11-2011

Página 12 de 23

La seguridad física es uno de los puntos relevantes a la hora de hablar de protección de información. Se

trata, por un lado, del monitoreo sobre el acceso de personas a los centros de datos y por otro, de la

calidad de los servidores donde se guarda la información.

En esta cuestión Google es el primer productor de servidores para uso propio, lo que garantiza que cada

uno de ellos es creado bajo las mismas normas y en caso de tener que reemplazar uno, se hará por otro

exactamente igual, no afectando a la información almacenada. El control completo sobre el hardware y el

software de los servidores permite diseñarlos con lo mínimo indispensable para su funcionamiento,

reduciendo de esta manera vulnerabilidades típicas de un servidor de propósito general.

El acceso a los centros de datos de Google es restringido sólo para el personal autorizado, que se

identifica tanto con credenciales personalizadas, como a través de un sistema de reconocimiento

biométrico. Además, cuentan con sistemas de sistemas de seguridad 24hs, monitoreo de cámara constante

y el lugar físico donde se ubica el centro de datos no es de público conocimiento. Estas son algunas de las

políticas de seguridad que se pueden implementar para garantizar la seguridad y protección de la

información de las organizaciones cliente y usuario.

La protección de datos en los servidores es otro de los factores que garantizan seguridad. Cómo son

guardados los datos dentro del servidor, la frecuencia con la que se realiza backup y la encriptación de los

datos, son factores condicionantes.

Almacenar los datos en múltiples locaciones y hacer backup constante brinda al usuario la certeza de que

sus datos están protegidos y no pueden perderse, borrarse ni desaparecer, una de las consultas más

frecuentes cuando de Cloud Computing se trata.

Asignar un nombre al azar a cada archivo y encriptar la información para que no sea legible, colabora con

la protección y seguridad de los datos guardados en los servidores, dentro de los centros de datos de

Google.

Y , ¿qué pasa con los servidores cuando necesitan ser reemplazados?

Página 13 de 23

La posibilidad de que un servidor falle siempre existe y, de hacerlo, debe ser reemplazado por uno nuevo.

Lo mismo ocurre cuando los mismos cumplen con su vida útil programada. Para proteger la información

de los usuarios, lo ideal es contar con sistemas de destrucción que garanticen que nunca más podrá

accederse a esa información, que alguna vez estuvo almacenada allí. Google cuenta con un sistema de

destrucción de discos de almacenamiento, diseñado exclusivamente para garantizar la completa

destrucción de la información.

Se pueden brindar distintas funcionalidades de producto que permiten garantizar la seguridad y la

protección de los datos de los usuarios. Para este fin, en Google ofrecen : verificación en 2 pasos,

encriptación SSL por defecto, visualización de documentos adjuntos y gestión de dispositivos móviles

dentro del navegador, y muchas otras capacidades de seguridad y administrativas.

Una de las maneras en la que los clientes pueden estar seguros de que sus datos están protegidos, es a

través de auditorías y certificaciones de terceros. Google Apps cuenta con la certificación FISMA

(otorgada por el Gobierno de los EEUU), y con la certificación SSAE 16 Tipo II, y su versión

internacional que es la certificación ISAE 3402 Tipo II, que avalan el trabajo de la compañía en materia

de seguridad, control y protección de la información.

El Cloud Computing es una nueva tecnología en constante evolución. Las empresas trabajan día a día

junto a sus equipos para mejorar las aplicaciones y poder brindar a sus usuarios los mejores productos del

mercado,, con tecnología de punta. Contar con una buena reputación en cuanto a seguridad y protección

de la información es la clave del éxito de este nuevo paradigma, que ya fue elegido por más de 4 millones

de organizaciones alrededor del mundo.

Buenas prácticas: las principales 10 ventajas más mencionadas por los clientes cuando hablan de

protección, de datos y de confiabilidad son:

1. Poderosas herramientas de administración que proporcionan a los administradores, control sobre

los datos.

Página 14 de 23

2. Una arquitectura de nube pura y probada, ya que la infraestructura de los servidores debe estar

específicamente diseñada y desarrollada para las aplicaciones y no incluir hardware innecesario

o código de software como puertos periféricos o drivers de dispositivos.

3. La administración de los parches, que ya no es más una tarea complicada para los departamentos

de TI, porque el proveedor Cloud administra los servidores y se ocupa de todas las

actualizaciones.

4. Fuerte Autenticación. Las empresas y organizaciones pueden implementar fácilmente una capa

extra de protección para las cuentas de sus usuarios usando los dispositivos que ya tienen.

5. Recuperación ante desastres que son comúnmente medidas a través de cuánto tiempo pasará

desde que ocurre una falla hasta que los usuarios pueden accedan al sistema; y el nivel de

corrupción que puede aparecer en los datos una vez que son restaurados.

6. Auditorías hechas por terceras partes, que garantizan y autentifican el trabajo de la compañía en

cuanto a seguridad, control y protección de la información.

7. Experiencia en seguridad de la información, con un equipo enfocado y dedicado a la misma con

una vasta experiencia y conocimiento.

8. Conexiones seguras para los usuarios, que ayuda a proteger los datos mientras viajan desde los

navegadores de los usuarios hasta los datacenters.

9. Alta disponibilidad, ya que no deben haber tiempos planeados de inactividad ni de baja del

sistema por mantenimiento.

10. Reducción del riesgo en la filtración de datos, gracias a que los datos están alojados de manera

central en la nube , lo cual reduce en gran medida la necesidad de que los usuarios deban llevar

esos datos consigo utilizando USBs u otros dispositivos similares, que pueden perderse o ser

robados fácilmente.

Es en función de estos conceptos que se encuentra la razón de ser de este trabajo, ya que se considera

importante desarrollar los efectos de este nuevo paradigma tecnológico que impulsan empresas del nivel

de Google respecto a las actuales normas de Gobernancia de las empresas.

Este paradigma en resumen aumenta la Gobernancia discrecional en detrimento de la Gobernancia

regulatoria a niveles muy importantes.

Página 15 de 23

a) Estructura de Propiedad: Cambia el paradigma tradicional al ser el propietario de la

infraestructura de datos y sus soportes, no la propia empresa , sino un proveedor.

b) Rol fiduciario: Es afectado ya que una parte muy importante del proceso decisorio necesario

para la correcta consecución de los objetivos radica en el manejo de la información que ahora no

tiene la empresa sino un proveedor al que se le confía la tarea de actualización y archivo de ella.

c) Accountability: Ahora este proveedor pasa a ocupar un lugar que desdibuja la medición de la

performance de un empleado de la organización, ya que no puede hacer nada ante la rotura de un

servidor por ejemplo.

d) Código de Buenas Prácticas: Pasan a ser imprescindibles en el cumplimiento, no las propias

buenas prácticas, sino las del proveedor de la nube.

e) Planes de compensación de la Alta Gerencia: Se miden en base a información que ya no está en

poder de la empresa., eso supone un riesgo de corrupción importante, ya que se puede alterar un

insumo para generar un reporte falso. Se da la problemática de principal y agente, al no ser quien

edita los informes alguien que puede controlar la veracidad de los mismos.

f) Comportamientos oportunísticos, como el complaciente dispendio presupuestario toman un rol

crucial, ya que la dependencia de un proveedor de estas características puede ser un gasto muy

importante para la empresa.

g) El tuneleo: Se podría trabajar con información de la empresa a espaldas de la propia empresa por

acuerdo de empleados y lograr información no autorizada por la empresa, que podría afectar

seriamente su performance frente a la competencia.

Este trabajo intenta mostrar lo terrible que puede ser para una empresa argentina involucrarse en este

paradigma sin tomar los recaudos correspondientes.

Sección 3: Elementos empíricos

En la década de 1990, surgió un nuevo contexto de negocios, caracterizado por modificaciones en el

macroentorno, cambios en la forma de organizarse de las empresas ( Hatum, 2007), y una transformación

Página 16 de 23

demográfica. Las modificaciones en el macroentorno que afectan a los negocios han sido forjadas por una

aceleración en el ritmo del cambio en los mundos económico, social, tecnológico y político.

March ( 1995), subraya cuatro factores para el aumento del grado de volatilidad e incertidumbre en el

ambiente en que operan las empresas; la vinculación global, es decir, las redes comerciales que

multiplican las interdependencias globales y que eliminan las fronteras nacionales; la tecnología de la

información que incrementa las posibilidades de coordinar y controlar las organizaciones; la competencia

basada en el conocimiento , es decir el uso del conocimiento como fuente principal de la ventaja

competitiva, y la incertidumbre política, es decir, la pérdida de autonomía del Estado Nacional a través de

una pérdida general del control de las fronteras. Todos estos factores han hecho que se intensificara la

competencia, que se acortaran los ciclos de vida de los productos, y que aumentara la innovación

tecnológica, en suma, estos factores han llevado a la hipercompetencia. En este contexto D’ Aveni (1994)

considera que, para los gerentes, la elección es clara: o se inmovilizan y resisten los cambios en el

ambiente, o se adaptan activamente y aprovechan sus oportunidades. D’Aveni (1994, p.36) señala que en

un mundo dinámico , solo sobrevivirán las empresas dinámicas que puedan adaptarse rápidamente a los

ambientes hipercompetitivos.

El aumento en la volatilidad y la incertidumbre está moldeando el mundo en que vivimos. En realidad, la

crisis financiera y económica de 2008/09 , que ha generado caídas del mercado en todo el mundo , en una

escala no vista desde la década de 1930 , puede tener consecuencias todavía no percibidas para la forma

en que trabajamos, nos organizamos y competimos ( Beechler y Woodward, 2009 )

La gobernabilidad de las tecnologías de información, o Gobernabilidad TI es un subconjunto de la

disciplina Gobernabilidad Corporativa enfocada a los sistemas correspondientes a las tecnologías de

información y, a la gestión de su performance y riesgos. El aumento del interés por la Gobernabilidad TI

se debe a las nuevas obligaciones para las empresas, que han surgido debido a regulaciones como la

Sarbanes-Oxley (USA) y Basel II (Europa), como también a que frecuentemente los proyectos TI se van

fuera de control y afectan profundamente los resultados de las compañías.

Un aspecto fundamental que tiene que ver con la Gobernabilidad TI es que los sistemas de información ya

no pueden ser considerados como cajas negras. Hoy tanto los directores de las empresas, como sus

Página 17 de 23

ejecutivos y personal deben tener un conocimiento respecto a cuales son sus funciones y como generan la

información. Por otra parte las nuevas regulaciones hacen responsables tanto a los directores como a los

gerentes de las compañías. Nolan, R y Mc Farlan ( 2005) consideran:

El directorio necesita comprender la arquitectura global del portafolio de aplicaciones informáticas de

su empresa … El directorio debe asegurarse que la administración conoce que recursos de información

dispone, bajo que condición se han generado, y que rol juegan en la generación de los resultados…

Para contextualizar con la realidad, cual es la opinión que tienen los directores de la situación actual de la

TI, a continuación van algunas conclusiones obtenidas de la encuesta realizada en el año 2005 por el IT

Governance Institute (ITGI) en 22 países.8

• Las TI son más críticas que nunca para el negocio.

Para el 87 por ciento de los participantes, las TI son muy importantes para hacer realidad las estrategias y

visiones corporativas. Para el 63 por ciento de los encuestados, las TI están regularmente o siempre en la

agenda del directorio.

• Los gerentes generales tienen un sentimiento más positivo hacia las TI que los gerentes de

TI.

Los gerentes generales le asignan a las TI un nivel de criticidad e importancia mayor que el que les dan

los gerentes de TI. Adicionalmente, los gerentes generales están más satisfechos con las TI y con el

alineamiento de la estrategia con el negocio.

• Existen diferencias significativas entre los distintos sectores industriales.

Los servicios de IT/telecom y financieros son los con más desarrollo en la Gobernabilidad TI. Mientras

que el retail y la industria manufacturera van más atrás. Esto es concordante con el grado de importancia

estratégica que le asignan estos sectores a las TI.

• El staff de TI es el problema más importante relacionado con las TI.

Cuando se analizan todos los aspectos de un problema (relacionado con TI), tales como la frecuencia de

8 Esta encuesta se puede encontrar en http://www.qualified-audit-partners.be/user_files/ITforBoards/GVIT_ITGI_IT_Governance_Global_Status_Report_-_2006_2006.pdf. Fecha de consulta en la web: 20-11-2011

Página 18 de 23

ocurrencia, la severidad del problema y su evolución futura, el staff TI surge como el problema TI más

importante.

• La seguridad TI no es el problema más importante relacionado con las TI

Cuando se consideran todas las 8 categorías de problemas TI considerados en la encuesta, la seguridad

ocupa el último lugar en el ranking.

Consultado a los ejecutivos de las empresas dijeron revelaciones sorprendentes9 :

Las prácticas de IT Governance deben ser mejoradas.

1. Tres cuartas partes de las organizaciones consultadas consideran IT Governance una parte de la

Gobernancia integral de la empresa, pero la madurez en la implementación de esto es muy baja.

2. La mayoría de los que respondieron dicen que el Equipo Ejecutivo de la empresa es accountable

por el IT Governance dentro de la empresa, pero delegan una porción importante de las

actividades de Gobernancia, algunas de las cuales no son asumidas de manera total.

3. En el 40% de las organizaciones entrevistadas, el CIO ( Chief Intelligent Officer) , no es

miembro del equipo ejecutivo de la empresa.

4. Casi la mitad de los que contestaron esta encuesta no miden el valor creado por las inversiones

en IT.

Por último , tomamos como referencia empírica global, el Global Status Report on the Governance of

Enterprise IT ( GEIT ) del año 201110, la encuesta que cubrió 21 países, 10 industrias y empresas grandes

y pequeñas y vemos que:

1. Existe foco en la Gobernancia – Governance of Enterprise IT ( GEIT) es una prioridad para la mayoría

de las empresas, solamente 5% indicó que no lo consideraba importante.

2. Dias nublados- Los encuestados manifestaron que su cabeza estaba en las nubes. 60% están usando o

piensan usar Cloud Computing para servicios no críticos de IT. Y cerca del 40% lo piensa usar en

misiones críticas de IT. Las empresas que no tienen planes de usarlo son básicamente por razones de

privacidad de los datos y dudas respecto a la seguridad del sistema.

9 Esta encuesta se puede encontrar en http://www.isaca.org/Knowledge-Center/Research/Documents/An-Executive-View-of-IT-Gov-Research.pdf. Fecha de consulta en la web: 20-11-2011 10 Esta encuesta se puede encontrar en : http://www.isaca.org/Knowledge-Center/Research/Documents/Global-Status-Report-GEIT-10Jan2011-Research.pdf, consultado el 20-11-2011

Página 19 de 23

Sección 4: Contexto del problema y situación en la Argentina

En el año 2010 se organizó el 1er Congreso Internacional de Cloud Computing “Cloud Summit Argentina

2010”, en el cual desfilaron los especialistas de las empresas más importantes del mundo, donde la

modalidad del mismo eran mesas redondas para debate de los puntos más complejos de la nube. Desde

ya, hubo varios temas en los cuales casi todos estaban de acuerdo, en especial las bondades de este nuevo

mundo, entre las cuales se encuentran las siguientes:

• Reducción de costos: esta es la ventaja más visible, solo se paga por lo que se usa, sin tener que

gastar grandes sumas de dinero en infraestructura de tecnología, ni su concerniente costo de

operación y mantenimiento.

• Movilidad y portabilidad: al estar los sistemas en la nube ( la cual puede ser Internet ) y poder ser

utilizados desde un simple navegador, permite acceder a los mismos desde una variedad muy

importante de dispositivos y locaciones, por lo cual el trabajo remoto es cada vez más sencillo y

rentable.

• Alta disponibilidad: Los estándares de disponibilidad de las empresas que brindan este tipo de

servicios se caracterizan por tener muchos nueves después de la coma, esto lo logran teniendo centros

de cómputos gigantes distribuidos en varios puntos del globo, ofreciendo una tasa de disponibilidad

que jamás se podría reproducir en sistemas in-house.

• Escalabilidad: este es otro punto muy ventajoso, ya que permite crecer en servicios a la par del

negocio, sin tener que hacer erogaciones importantes para la puesta en marcha, dando la agilidad

suficiente para crecer o decrecer según lo dicten las condiciones del mercado.

Pero no todas son rosas en el mundo de las nubes, como toda nueva ola tecnológica tiene varios puntos a

tener en cuenta antes de entrar a este mundo.

Algunos de los frentes de tormenta son:

Página 20 de 23

• Confianza en el proveedor: el punto más importante; ya que se debe elegir un proveedor con

probada experiencia en el rubro, que tenga presencia real en el país, ya que como analizaremos en los

próximos puntos ellos tendrán en su poder toda la información con todo lo que ello significa.

• Marco Legal: este es otro punto clave y sobre el cual, en el Cloud Summit del año pasado, se

desarrolló el mayor debate. Es fundamental saber donde están almacenados los datos para conocer las

normativas legales que aplican sobre los mismos. Si los datos están almacenados en territorio de los

EEUU, el USA PATRIOT ACT permite al gobierno de los EEUU monitorear la información para

prevenir ataques terroristas. Con este antecedente, si es una organización gubernamental por ejemplo,

¿le gustaría dejar esa puerta abierta a la información?

• Infraestructura de Comunicaciones: ya que los sistemas se encuentran fuera de los edificios, la

red de comunicaciones para llegar hacia los datos debe estar diseñada para no correr peligro de

cortes, más aun, si las locaciones se encuentren lejos de los puntos de mayor intercambio de

información.

• Seguridad: el otro punto álgido. La seguridad está en manos del proveedor, por lo cual sus

problemas ahora son los problemas de quien lo contrata. La confianza en el proveedor es primordial.

• Recuperación de la Información: aunque realmente es muy difícil, el proveedor debería proveer o

mostrar cuáles son los mecanismos de recuperación ante desastres, ya que la información está en sus

manos y la experiencia cuenta que grandes empresas del rubro tuvieron problemas con este tema.

• Contratos: los contratos deben ser bien claros en cuanto a algunos puntos, en especial a la

posibilidad de terminar el servicio y poder llevarse la información en cualquier momento. Además de

dejar en claro bajo que jurisdicción legal son aplicables los mismos, ya que en este punto existe un

gran vacío legal.

Situación en la Argentina

Cloud en Argentina no es lo mismo que en otras partes del mundo .

Empezando por la red de comunicaciones de la República Argentina donde encontramos importantes

ciudades del interior donde llega solo un carrier de datos, obviamente cualquier falla en la red dejaría

inutilizados todos los servicios de la nube. En este punto es importante destacar el trabajo de CABASE, la

Página 21 de 23

Cámara Argentina de Internet , que desde el año pasado, desarrolla NAPs en el interior del país ( puntos

de encuentro de las redes de datos para intercambiar tráfico y así acelerar y optimizar el uso de Internet )

federalizando el acceso a Internet, permitiendo mayor disponibilidad en todo el país.

El otro punto es lo legal, actualmente se firman contratos fuera del país, donde las regulaciones son

propias del país de origen y no suelen adaptarse a las medidas locales, es más, algunos proveedores no

tienen representación legal en la Argentina.

En cuanto a los servicios brindados desde nuestro país, podemos encontrar algunas soluciones que pueden

ser interesantes a tener en cuenta, más aun cuando empresas con datacenter locales ofrecen servicios

hosteados de empresas internacionales, de esta manera existe un servicio ofrecido desde datacenters

nacionales con tecnología probada de los grandes jugadores a nivel mundial.

¿Podrá la Argentina tener alguno de los centros de cómputos si el costo operacional es más bajo que en

los países de orígen?

El problema es la provisión ininterrumpida de energía eléctrica, que es el principal insumo del datacenter,

pero como uno de los principales ítems de consumo energético es la refrigeración de los equipos, en la

Patagonia se podría exportar frío, reduciendo en forma muy importante el consumo de energía del

datacenter , sólo faltaría asegurar la provisión contínua de la energía y convencer a los grandes jugadores

de ofrecer el servicio para la región desde la Argentina.

Página 22 de 23

CONCLUSIONES:

Las encuestas mundiales son contundentes en que la nube vino para quedarse y que puede ser una

excelente herramienta para las organizaciones. Pero claramente se ve que cuando la brecha tecnológica e

institucional entre países es importante, no es fácil integrar este concepto a la cultura de la Gobernancia

de una empresa.

La transferencia de la información a la nube puede ser excelente operativamente, pero destruye conceptos

claves de Gobernancia tradicional como el rol fiduciario, accountability, administración de riesgos y abre

la puerta a el complaciente dispendio presupuestario y al tuneleo, porque se da el problema del principal y

agente, que se traduce en que como la empresa ya no es responsable de suministrar su propia información,

ese desvío permite desligarse de compromisos , objetivos y metas por “culpa del proveedor”.

Todos hemos visto el gesto burlón con que empleados de una empresa de cobranza nos despiden de la

ventanilla en la que hacíamos cola para pagar una factura con el consabido “se cayó el sistema”, bueno,

esto puede ser llevado a niveles insospechados de corrupción sino es un proceso que se implante bien

aceitado en la organización.

Esperemos que se haga con sensatez por el bien de todos los stakeholders.

Página 23 de 23

Bibliografia:

Beechler, S. y Woodward, I.C. ( 2009 ) The global war for talent. Journal of International Management

15: 273-85.

D’Aveni, R.A. ( 1994 ). Hyper-Competition. Nueva York: The Free Press

Hatum, A ( 2007). Adaptation or Expiration in Family Firms: Organizational Flexibility in Emerging

Economies. Cheltenham: Edward Edgar

March, J.G. (1995). The future, disposable organizations and the rigidities of imagination. Organization 2

(3-4) : 427-40.

Nolan, R. and F. W. McFarlan (2005): “Information Technology and the Board of Directors.” Harvard

Business Review (October 2005).