COBIT 5: Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa (I)

En 2012, ISACA [1] publicó COBIT 5, el vástago más joven de una generación de documentos normativos, que inició 15 años antes. Desde 2012, ISACA ha publicado un gran número de productos muy diversos derivados de la familia COBIT 5 (aparte de sus traducciones a diversos idiomas) [2].

COBIT 5 supuso una importante revolución en la familia, en al menos dos aspectos:

  • explicita y consolida la distinción entre Gobierno (Governance) y Gestión [Administración, en LATAM] (Management) de las TI; y
  • abjura de su tradicional modelo de madurez de procesos ‘CMM’, basado, con adaptaciones, en el CMM del SEI de CMU, para abrazar el de capacidad de procesos de ISO/IEC 15504, SPICE.

La distinción entre Gobierno Corporativo y Gestión queda clara, en COBIT 5,  desde su título y comienzo, y está en línea con la ISO 38500, de la que hace una ‘transposición’, una adopción con variaciones.

COBIT 5 no es imperativo ni procedimental: recomienda, no prescribe; señala resultados deseables y ofrece métodos y métricas pero no impone procedimientos detallados. No es radical sino tolerante e incluso ‘promiscuo’: recomienda otras normas o marcos (como ISO 20000, ISO 27000 o ITIL), con los que propone una eficaz convivencia. De manera que una empresa u organización procede a ad@ptar™ (“cortar y pegar” de COBIT 5 y otros marcos y normas —a lo que COBIT 5 invita) [3] —, para así establecer su sistema propio de gobierno corporativo de las TI.

COBIT 5 no es un marco ‘implantable’  ni certificable (como, por ejemplo lo es la norma ISO 9001). COBIT 5 no se implanta: lo que se implanta —según ISACA— es un ”gobierno corporativo de las TI, usando COBIT 5”.   

Por ello, y porque —como consecuencia de la no certificabilidad [4]— no hay un registro de empresas certificadas, COBIT 5 no tiene la visibilidad de otras iniciativas de menos fuste (como ITIL). Sin embargo, cuenta con un amplio apoyo de los reguladores y lo usan empresas y organismos en todos los sectores y continentes.

El marco COBIT 5, se ha desarrollado a partir de unas necesidades de los interesados (stakeholders needs), abstraídas, como resultado de amplias encuestas mundiales que gestiona la escuela de negocios de la Universidad de Amberes.

Propone 7 categorías o ‘clases’ de elementos constituyentes o habilitadores (drivers) [llamados “catalizadores” en la versión española] altamente interrelacionados, para construir el sistema específico de gobierno y gestión: 

  1. procesos;
  2. cultura, ética, comportamientos;
  3. estructuras organizativas;
  4. información;
  5. principios y políticas;
  6. habilidades y competencias; y
  7. capacidades de servicio.

COBIT 5 se basa en cinco principios:

  1. Es un marco integrador. Integra material previo de CobiT y de ISACA, y también de terceros, y su estructura sencilla facilita la integración de cualquier otro marco o norma razonable. No es prescriptivo, como he dicho, aunque propone un modelo de referencia de procesos (ver más abajo).
  2. Se rige por la persecución del valor para los interesados (stakeholders).
  3. Está orientado al negocio (en sentido genérico, ya que engloba administraciones públicas, ONGs, etc.)
  4. Se basa en los 7 habilitadores enunciados más arriba.
  5. Está estructurado en procesos de Gobierno Corporativo y de Gestión [Administración] diferenciados, pero interrelacionados.

COBIT 5 consta de 37 procesos de alto nivel —el modelo de referencia de procesos (ver Figura [5]). De ellos, 5 son de Gobierno Corporativo; los demás de Gestión.

Algunos consideran que es demasiado engorroso; pero quizá no han reparado en que —al permitir su adopción fraccionada y flexible— muchos de tales procesos pueden no considerarse, en función de la circunstancias de la empresa u organismo.

Cada uno de los procesos es tratado en detalle en otro documento COBIT 5 – Procesos Catalizadores (este de pago, para no miembros de ISACA) que contiene unas ‘fichas’ normalizadas, que describen —con gran riqueza de información— subprocesos y actividades, métricas, flujo de trabajo (I/O) y tabla RACI [6].

En la próxima entrada, lo analizaremos con más detalle.

Notas y Referencias

  1. ISACA es “una asociación global, sin ánimo de lucro e independiente que se dedica al desarrollo, adopción y uso de conocimiento y prácticas de los sistemas de información que sean globalmente aceptadas y líderes en el sector”. Actualmente cuenta con unos 140 000 asociados, agrupados en Capítulos en 180 países. En España hay 3 Capítulos: Barcelona, Madrid y Valencia. 
  2. El documento básico, el “Marco” —Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa— es muy recomendable y gratuito para cualquier interesado, aunque exige registro, con una opción de opt-out (darse de baja) en cualquier momento.
  3. El palabro “ad@ptar” lo acuñamos a estos efectos y publicamos Ricardo Bría y yo en: Palao, M. y Bría, R. (2008). “Implantación de Buen Gobierno de los SI y las TIC, ad@ptando COBIT, ITIL y VAL IT. Una caricatura respetuosa”. Novática, ISSN 0211-2124, Nº. 191, 2008. pp. 39-41.
  4. Si bien los organismos o sus procesos no son COBIT-certificables, ISACA administra diversas certificaciones relacionadas con COBIT: unas de conocimientos-habilidades profesionales; otras de capacidad de los procesos implantados.
  5. Fuente de la Figura: ISACA. (2012). COBIT 5 – Procesos Catalizadores. Rolling Meadows, IL 60008 EE.UU. p 33.
  6. La tabla RACI (Responsable-Alto_Responsable-Consultado-Informado) es una matriz unidades_empresariales – actividades_responsabilidades (Ej.: Director_Financiero – Aprobar_Presupuestos) que —en COBIT 5— incluye, entre las unidades, el Consejo de Administración, el CEO y los Directivos de Negocio, esto es, órganos de gobierno.

 

Manolo Palao Garcia-Suelto es colaborador docente de las asignaturas de Planificación y Dirección Estratégica de Sistemas de Información de la Universitat Oberta de Catalunya y miembro de ISACA y del ITTrends Institute.

El futuro de la seguridad en el ámbito del Internet de las Cosas

En la última década hemos presenciado cómo los ordenadores se convierten en dispositivos móviles y dan el salto a nuestros bolsillos. Al mismo tiempo, estos dispositivos han pasado a estar conectados a Internet de manera esporádica a estar conectados de manera ubicua gracias a las tecnologías de comunicación celular. Esta combinación ha implicado un cambio radical en nuestra manera de acceder a la información y de comunicarnos, transformando a su vez la sociedad en la que vivimos.

El siguiente paso en este proceso de evolución tecnológica es la miniaturización de los ordenadores y el desarrollo de tecnologías de comunicación móvil adaptadas a las máquinas, cosa que permitirá que sean los objetos los que tengan conexión directa a Internet. Este concepto se conoce popularmente como Internet de las Cosas (IoT, del inglés Internet of Things) y hoy en día ya es innegable que tendrá un gran impacto social y económico en el ámbito de las ciudades y la industria en los próximos años.

En este contexto, existe una preocupación creciente respecto a las implicaciones de seguridad que presenta el despliegue masivo de dispositivos conectados a Internet. Esto resulta especialmente cierto en los ámbitos donde el funcionamiento de los sistemas conectados a Internet resulta crítico para el correcto desarrollo de la actividad humana o su afectación puede tener un impacto económico negativo, como es el caso de los sistema de generación y distribución de energía.

Hasta la fecha, la mayoría de ataques informáticos se han perpetrado desde ordenadores de sobremesa, ya sean personales o corporativos, a través de virus informáticos que permiten su control de manera remota. Gracias a la orquestación de un número elevado de dispositivos, los atacantes podían lanzar ataques coordinados con el objetivo de afectar el correcto funcionamiento de los servicios informáticos de una empresa o gobierno, con el consiguiente impacto social y económico.

Este tipo de ataques se conocen como ataques de denegación de servicio (DDoS, del inglés Distributed Denial of Service) y, como vemos en la Figura 1, se basan en explotar el funcionamiento de los protocolos de la capa de transporte de la pila TCP/IP, como TCP, UDP o ICMP,  que son la base del funcionamiento de Internet.

Figura 1. Tipos de ataques de DDoS perpetrados en 2017 [1].

Uno de los tipos de ataque DDoS más empleados se basa en aprovechar el mecanismo de establecimiento de conexión del protocolo TCP. Este mecanismo se conoce como three-way handshake y consta de tres fases. En primer lugar el cliente envía un paquete TCP con el bit SYN activado para indicar al servidor que quiere establecer una nueva conexión. El servidor, al recibir correctamente este paquete, contesta al cliente con un paquete TCP con los bits SYN+ACK activados, indicando que ha recibido correctamente la petición de conexión. Finalmente, el cliente envía otro paquete TCP al servidor con el bit ACK activado para notificar la correcta recepción. Una vez recibido el tercer paquete por parte del servidor, se considera que la conexión está establecida y ambos pueden empezar a intercambiar datos.

Viendo el funcionamiento del protocolo TCP para establecer la conexión y teniendo en cuenta que el número de conexiones que puede gestionar de manera concurrente un servidor está limitada (el protocolo TCP utiliza 16 bits para representar una conexión, de modo que un servidor sólo puede gestionar 65.535 conexiones simultáneas), es fácil intuir el funcionamiento de un ataque DDoS de este tipo.

Si múltiples clientes intentan abrir de manera simultánea y repetida una nueva conexión TCP con un servidor enviando un paquete SYN pero no responden al paquete SYN+ACK del servidor, la conexión queda bloqueda, consumiendo recursos del sistema. Si bien el servidor es libre de descartar un intento de establecer una conexión TCP al cabo de un cierto tiempo (timeout) en el caso que ésta no se complete correctamente, si el numero de peticiones concurrentes es superior a este tiempo se puede llegar a bloquear la capacidad del servidor de establecer nuevas conexiones con clientes.

Actualmente existen diferentes mecanismos para detectar y frenar el impacto de los ataques DDoS, como por ejemplo el uso de sistemas firewall y arquitecturas de balanceo de carga, pero el creciente número de dispositivos conectados a Internet hace que cada vez sea más complicado limitar el impacto de este tipo de ataques. Además, teniendo en cuenta que cada vez más sistemas estarán conectados a Internet, la afectación en el servicio y el impacto social y económico de este tipo de ataques será cada vez mayor.

En este sentido, en los últimos años la Internet Engineering Task Force (IEFT), organización internacional que lidera la estandarización de protocolos de Internet, ha puesto mucho énfasis en la seguridad de la red con la misión de hacerla robusta a este tipo de ataques.

Una de las líneas de conversación que nos pareció interesante en la última reunión del IETF es la que sucedió en los grupos relacionados con los protocolos de comunicación para dispositivos IoT basados en IPv6 (6lo, Roll, 6TiSCH y CoRe, entre otros), tales como termostatos inteligentes, controles de persianas, bombillas inteligentes, contadores de luz o gas, pulseras smart, etc. Aunque nos parezcan dispositivos muy básicos, muchos de ellos implementan la pila de protocolos TCP/IP y, por tanto, se pueden conectar a Internet de manera autónoma. Por ejemplo, un termostato puede usar 6LoWPAN sobre IEEE802.15.4, una bombilla inteligente puede usar la pila de Thread (con soporte IPv6 a través de 6LoWPAN), y una pulsera inteligente puede implementar el reciente Bluetooth LE con soporte IPv6.

Durante nuestras disquisiciones evidenciamos que es extremadamente sencillo llevar a cabo un ataque DDoS desde cualquier dispositivo en el que tengamos capacidad de modificar la cabecera IP de los paquetes enviados. Es decir, utilizando estos dispositivos y con conceptos muy básicos de programación se puede lanzar un ataque de DDoS a gran escala; si bien el número de conexiones que puede abrir un solo dispositivo no es significativo para un servidor, si son miles, los nodos involucrados la historia cambia [2]. Además, existen otros tipos de ataques basados en los mismos principios, como address spoofing o packet reflection, que pueden tener efectos similares.

Teniendo en cuenta todo esto, las conclusiones a las que se llegó durante la reunión fue que para limitar el impacto de dichas vulnerabilidades de cara al futuro se debe poner énfasis en los mecanismos de seguridad en el acceso a las redes, es decir, la verificación del tráfico que los dispositivos envían cuando acceden a Internet. Esto contrasta con la aproximación actual a la seguridad, en la que sólo se verifica el tráfico que llega a los servidores.

Referencias

[1] Listado de ataques DDoS en 2017 https://securelist.lat/ddos-attacks-in-q2-2017/85272/

[2] Ataque masivo DNS 2016. https://thehackernews.com/2016/09/ddos-attack-iot.html

 

Xavier Vilajosana es doctor e investigador principal del grupo de investigación Wireless Networks de la UOC, así como profesor de los Estudios de Informática, Multimedia y Telecomunicaciones. Además, Xavier es co-fundador de Worldsensing y OpenMote Technologies, dos start-ups pioneras en desarrollo de tecnología relacionada con la Internet Industrial.  Xavier es autor de diversas patentes, estándares y publicaciones científicas en el ámbito de la Industria 4.0.

Pere Tuset-Peiró es doctor en Tecnologías de la Información y las Comunicaciones por la Universitat Oberta de Catalunya. Es profesor lector de los Estudios de Informática, Multimedia y Telecomunicación, e investigador del Grupo Wine (Wireless Networks) en el Internet Inter-disciplinary Institute, ambos de la Universitat Oberta de Catalunya. Su actividad docente e investigadora se centra en el ámbito de los sistemas ciberfísicos aplicados a la industria, incluyendo los sistemas empotrados, las redes de comunicaciones y el procesamiento de la señal.

¿Beneficios para quién?

En entradas anteriores hemos presentado los conceptos básicos de la realización de beneficios en informática y algunas maneras de establecer la relación entre la aplicación de tecnologías y su aprovechamiento por el negocio. Sean beneficios estratégicos (como la gestión integral del portafolio) u operativos (como el impacto sobre la generación de ingresos, la reducción de costes, la mejora del servicio o la mitigación de riesgos). La realización de beneficios, decíamos, no es una técnica de análisis o presentación de las inversiones, sino un mecanismo de gobernanza. Es una manera de establecer el compromiso de la dirección y conseguir la aceptación de la organización.

 

Mapa estratégico de tecnologías, según Jan-Martin Lowendahl (Gartner, 2015)

Es un instrumento de transparencia, que los clientes de los servicios de TI reclaman con razón: no desean saber lo mucho que trabaja el departamento de TI, sino para qué y para quién trabaja y por qué decide trabajar en una cosa y no en otra. Es una cuestión de confianza.

La realización de los beneficios de una tecnología “ocurre sobre todo gracias a un consentimiento colectivo en el que diferentes interesados alinean su poder y sus intenciones”, decían Dhillon y colegas en un gran artículo de 2011. Consentimiento (consent) quiere decir aceptación y no es lo mismo que el consenso más o menos político o asambleario.

Por lo tanto, otra dimensión que la dirección general o el comité de Dirección tienen que poner en consideración a la hora de priorizar las inversiones de TI son los llamados “interesados” o stakeholders y cuál es el balance de pérdidas y ganancias de cada uno: clientes, distribuidores, socios de negocio, proveedores, el personal y, sobre todo, las diferentes unidades organizativas.

¿Cui bono?, que decía Cicerón y también ahora Jan Martin Lowendahl, analista de Gartner para las universidades. Los americanos lo llaman con las siglas WIFM (What is in it for me?); nosotros decimos ¿Qué hay de lo mío? Este es, efectivamente, un aspecto aún más sensible en organizaciones no lucrativas y organizaciones profesionales, donde los objetivos parecen más difíciles de medir y los cuerpos técnicos (sean médicos de hospital, profesores universitarios o músicos de orquesta) ejercen o aspiran a ejercer una influencia sobre las decisiones de gasto.

En la literatura académica se han desarrollado modelos para relacionar el comportamiento de los interesados y la gestión del portfolio de inversiones en TI, a los cuales dedicamos un par de posts (1, 2) hace unos meses. (Como dice un amigo: todos los modelos son malos; algunos son útiles.)

En la literatura profesional, el modelo de Gartner que mostramos en la gràfica pretende ayudarnos a balancear los intereses corporativos (los del conjunto de la empresa, que figuran en el eje de ordenadas) con las mejoras en la experiencia y la productividad de los interesados (que figuran en el eje de abscisas). En las universidades es típico:

  • en los extremos, hay demandas de tecnología para aumentar los ingresos y reducir los costes (que normalmente reclama el comité de dirección) y una miriada (un “limbo”, dice una colega mía) de demandas de mejora de las herramientas de trabajo docente o de gestión por parte de los profesores y las unidades administrativas.
  • en el cuadrante inferior izquierdo suelen estar las inversiones en infraestructura, que con frecuencia salen perjudicadas en el ejercicio, o sea no se “priorizan”.
  • las tecnologías “hot spot” son oportunidades prometedoras para todos, pero relativamente nuevas o con baja penetración en el mercado. Un ejemplo típico en el entorno universitario serían las herramientas para monitorizar el proceso de aprendizaje y/o reducir el abandono (learning analytics) o las de asesoramiento al estudiante basadas en el aprendizaje automático (machine learning), sobre cuyo interés todo el mundo coincide pero cuyo riesgo las hace de adopción más lenta y difícil.

Aunque esa es otra historia.

 

José Ramón Rodríguez es profesor de dirección de las TIC en diferentes programas de la UOC y consultor independiente. Investiga la planificación y gestión de proyectos de transformación empresarial facilitados por los sistemas y tecnologías de la información.

¿Qué piensan los estudiantes y profesores de la evaluación en línea? Algunas pistas y expectativas en el contexto del proyecto TeSLA

Son muchas las investigaciones que han analizado el auge de los sistemas de evaluación en línea desde el ámbito institucional, económico o pedagógico en contextos de formación semipresencial. Sin embargo, existen pocos estudios que analicen las vivencias y perspectivas de profesores y estudiantes en experiencias de evaluación en línea en entornos completamente virtuales. ¿Qué experiencias previas tienen? ¿Qué ventajas y desventajas prevén? ¿Qué datos personales están dispuestos a compartir? A estas y a otras preguntas da respuesta el proyecto TeSLA.

Como ya comentamos en un post anterior, el proyecto TeSLA tiene por objeto desarrollar un sistema de evaluación en línea que permita identificar a los estudiantes y verificar la autoría de las actividades de evaluación que entregan gracias a tecnologías como el reconocimiento facial y de voz, los patrones de teclado, el análisis del estilo de escritura y el antiplagio. Sin embargo, sabemos que el uso de este tipo de tecnologías puede generar recelo y desconfianza entre aquellos que deben usarlas. Por este motivo, en paralelo al proceso de desarrollo y testeo del sistema TeSLA, a lo largo de cada piloto se ha recogido la opinión de estudiantes y profesores sobre la evaluación en línea a través de cuestionarios (pre y post piloto) y grupos de discusión (durante el piloto).

En el segundo piloto, los estudiantes firmaron un consentimiento informado. Además, realizaron actividades de registro de usuario destinadas a construir un modelo biométrico a ser usado por las tecnologías antes citadas. Posteriormente a la construcción de dicho modelo, los estudiantes realizaron actividades de evaluación donde se activaron dichas tecnologías. En este contexto, se pasó un cuestionario inicial a estudiantes y profesores con el fin de conocer sus experiencias, opiniones y expectativas sobre aspectos relacionados con la evaluación en línea (confianza, privacidad y ética, engaño y plagio). Al finalizar el piloto se pasó de nuevo un cuestionario similar, donde se puso el foco en la experiencia vivida con el sistema TeSLA. De los 937 estudiantes participantes en el piloto, 756 respondieron el cuestionario previo y 391 el cuestionario posterior. Entre ellos, encontramos una mayoría de hombres (61%) con una media de edad de 22 a 30 años (38%), y que están empleados a tiempo completo (67%). Por lo que respecta a los profesores, de los 64 que participaron, 45 respondieron el cuestionario previo y 32 el cuestionario posterior.

Como sabemos por la literatura previa, los estudiantes suelen tener una actitud positiva hacia la evaluación en línea, aunque entre sus opiniones aparecen siempre ventajas y desventajas. Por ejemplo, para la mayoría de estudiantes y profesores que respondieron nuestro cuestionario posterior al piloto, las mayores ventajas de la evaluación en línea son: ahorrarse tiempo en el desplazamiento a un centro físico (73,9% estudiantes, 59% profesores), evitar la evaluación presencial (67% estudiantes, 66% profesores) y aumentar la adaptación a sus necesidades/o a las necesidades de sus estudiantes (61,9% estudiantes, 41% profesores). Sin embargo, algunos estudiantes temen que les implique más trabajo (41,7%) y desconfían del hecho de tener que compartir datos personales (23,8%). Para los profesores, la principal preocupación es el tiempo extra que deberán dedicar a la evaluación (44%) y el trabajo añadido que les puede implicar (44%).

Figura 1. Ventajas y desventajas de la evaluación en línea (post cuestionario estudiantes).

Aún con estas reticencias, los resultados nos indican que tanto los estudiantes como los profesores confían en cómo la UOC está tratando de mejorar la calidad de la evaluación en línea (87,7% estudiantes, 91% profesores), confían en un sistema como el TeSLA donde toda la evaluación se lleve a cabo en línea (80,6% estudiantes, 69% profesores) y no sienten que la universidad desconfíe de ellos por el hecho de usar un sistema de identificación y autoría (67% estudiantes, 84% profesores). Además, la mayoría de estudiantes siente que sus datos personales han sido tratados de modo seguro durante el piloto (82,6%), sienten que han sido bien informados (90,5%) y se sienten satisfechos con la experiencia de evaluación en línea (78,6%). Sólo algunos estudiantes afirman que han sentido que el nivel de vigilancia había aumentado debido al piloto TeSLA (20%) y se han sentido más nerviosos al realizar las actividades de evaluación debido al uso de mecanismos de seguridad (18,6%). Si analizamos los resultados por instrumento, vemos que cuanto más intrusivo es el instrumento (por ejemplo, el reconocimiento facial), más incómodos se sienten. Estas opiniones han sido contrastadas y ampliadas en dos grupos de discusión donde participaron seis estudiantes y cuatro profesores y en los que se ha confirmado su buena disposición para la evaluación en línea. En estas sesiones, el mayor problema observado han sido algunos fallos técnicos. Por lo que respecta a la privacidad, los estudiantes defienden que han sido bien informados y que no tienen problemas en compartir sus datos personales con fines formativos puesto que confían en el uso que la universidad hará de ellos. De hecho, consideran que el sistema TeSLA les hace confiar más aún en la universidad y en su sistema de evaluación y acreditación.

Figura 2. Disposición a compartir datos personales (post cuestionario estudiantes)

En definitiva, parece que la actitud positiva de estudiantes y profesores respecto de la evaluación en línea nos indica que el sistema TeSLA está ofreciendo un espacio seguro donde los estudiantes sienten que sus datos personales están siendo usados de modo fiable y en el que los profesores están obteniendo nuevas informaciones para evaluarlos. En siguientes pilotos esperamos poder mejorar los problemas técnicos y así disminuir la sensación de sobrecarga que pueden percibir estudiantes y profesores. Vamos por el buen camino.

 

Ingrid Noguera es investigadora en el proyecto TeSLA de la UOC, donde participa en tareas relacionadas con la definición del marco de enseñanza-aprendizaje y los modelos de evaluación. Licenciada en Pedagogía y doctora en Multimedia Educativo por la Universitat de Barcelona, sus áreas de conocimiento e investigación incluyen e-learning, aprendizaje colaborativo y metodologías de enseñanza-aprendizaje.

M. Elena Rodríguez es profesora de los Estudios de Informática, Multimedia y Telecomunicación de la UOC y forma parte del proyecto TeSLA, participando en tareas que se centran en el diseño del sistema TeSLA y en el desarrollo de pruebas piloto en la UOC. Licenciada en Informática por la Universitat Politècnica de Catalunya y doctora por la Universidad de Alcalá, sus áreas de conocimiento e investigación incluyen las bases de datos y la ingeniería de ontologías para el desarrollo de sistemas de e-learning basados en estándares.

Sobre el valor de los Sistemas y Tecnologías de la Información

¿Cuánto valen o qué valor aportan los productos y servicios informáticos? Por ‘valor’ (en sentido económico) entendemos “una medida del beneficio que se puede obtener de bienes o servicios” [1].  Muchos economistas (y otros pensadores) han adoquinado la historia con sus teorías del valor: desde T. de Aquino a R. Nozick, pasando por A. Smith, D. Ricardo, K. Marx, L. Walras o J. Schumpeter, por citar solo algunos muy señeros.

Dimensiones del valor económico

No parecen haber alcanzado los expertos  una teoría común sobre el valor (como se acepta que la hay  sobre la cosmogénesis o la evolución). Quedémonos con dos grandes polarizaciones:

  • el debate sobre la naturaleza “objetiva o subjetiva” del valor; y
  • la dialéctica “valor de uso vs valor de cambio” (la paradoja del diamante de Adam Smith).

La cuestión es que, cuando queramos comparar, priorizar, elegir, necesitaremos recurrir al ‘valor de cambio’ y a su referente, la moneda. Según el propósito y la circunstancia interesan uno u otro de los paradigmas. (Es algo así como lo de la partícula y la onda, pero aún menos claro).

Nos interesan estos temas para poder reflexionar sobre el valor de sistemas y tecnologías de la información en concreto y —por ejemplo— su inclusión o no y su priorización y administración en nuestra cartera (portafolio) de inversiones del próximo año. Algo a lo que el profesor José Ramón Rodríguez ha dedicado un post reciente en este blog. Permitidme hoy una excursión un poco teórica sobre las paradojas del valor en sus diferentes dimensiones.

Un ejemplo de la primera dicotomía resultará claro para quienquiera que en esta crisis haya querido/necesitado vender su casa. El valor, en economía, no es necesariamente el precio de mercado. Por otra parte, el valor de algo no es igual para mí que para otros; y depende de las circunstancias.

En cuanto a la segunda dicotomía, una botella de agua tendría (en general) alto valor de uso en una situación de sedientos perdidos en el desierto; en cambio, un diamante tiene (en general) alto valor de cambio en el Passeig de Gràcia y nulo valor de uso (y de cambio) entre sedientos en el desierto. 

Es más frecuente establecer el valor como valor de cambio, sobre todo el referido a una moneda (aunque antaño también valía lo de “te cambio estos dos huevos por tres tomates y una lechuga”, la economía del trueque). Recurrir a la moneda, al precio, es una forma ‘finalista’ de referenciar, de comparar. Cuando en el mercado se produce una transacción, el comprador manifiesta (explícita o tácitamente) que el precio acordado compensa su valor (esperado) de uso [1] y el vendedor manifiesta que el precio acordado coincide con o le compensa del coste de producción [2].

El recurso masivo a servicios informáticos en el mercado (muchos de pago dinerario; otros, muy populares como redes gratuitas), encubren pagos en especie, como la atención a publicidad o la disposición de los datos del usuario y su perfil de interés o de compra). Recientemente, el ransomware ha puesto de relieve otra faceta del valor de cambio.

Desde el siglo XVIII ha habido corrientes importantes que postulan que el valor depende del trabajo incorporado al proceso productivo, aunque ya Adam Smith (1723-1790) introdujo el concepto de coste de producción, incluyendo el coste de los otros factores de producción (la tierra y el capital, en el modelo de la época). El marxismo también deviene de esa corriente.

El valor de los sistemas de información ha sido considerado tradicionalmente como (principalmente) un coste de producción, o sea, el coste del trabajo necesario para desarrollarlos, desde la época (no tan lejana, hará 30-40 años) en que el coste de los equipos inició su acelerada reducción relativa. Así, las técnicas y métricas más o menos refinadas de valoración-presupuestación de sistemas de información se han basado en la valoración-presupuestación del software (SW), quizá mayorándolo con un coeficiente para cubrir otros costes.

Los métodos usados intentan generalmente establecer una correlación entre el trabajo necesario (en horas-persona o meses-persona de un determinado perfil técnico) y una(s) métrica(s) del tamaño y complejidad del SW.  Entre estas métricas está la clásica (y aun en uso frecuente) de la cuenta de líneas de código fuente —SLOC; los estimadores de complejidad o de entropía; CoCoMo de Boehm; y el más moderno FPA (Análisis de Punto Función), normalizado por ISO, cuyos estimadores son certificables

Dichos métodos nos permiten, con mayor o menor precisión (y esfuerzo), estimar tamaños del SW, cantidad de recursos de desarrollo (meses-persona [4]) y plazos, pero no nos permiten gestionar una cartera de inversiones en informática ni menos aún una cartera de inversiones en la que las de informática compitan con otras como invertir en máquinas-herramienta o comprar una empresa. Para esto se han establecido otros métodos, a los que dedicaremos algunas entradas en las próximas semanas.

Notas y referencias

  1. https://en.wikipedia.org/wiki/Value. (URL consultado 20170917). Sorprende que no tenga versiones en castellano ni catalán.
  2. Excepcionalmente, en el caso de un comerciante, sería su valor de cambio.
  3. Aquí ya estoy haciendo una gran simplificación, pues —en las decisiones de vendedor y comprador— el coste tiene gran influencia, pero no es determinante.
  4. Al referirme a “meses.persona” no puedo dejar de recordar —y recomendar a quienes no los conozcan— los ensayos de Brooks Jr., F. P. (1975). The mythical man-month. Essays on Software Engineering. Addison-Wesley Publishing Company Inc.  Si el Capítulo 2 (con el mismo título que el libro) es interesante, el Cap. 1: “The Tar Pit” [El Pozo de Brea] debiera ser de lectura obligatoria.

 

Manolo Palao Garcia-Suelto es colaborador docente de las asignaturas de Planificación y Dirección Estratégica de Sistemas de Información de la Universitat Oberta de Catalunya y miembro de ISACA y del ITTrends Institute.