martes, 28 de abril de 2009

Pongamos que hablamos de herramientas de análisis de riesgos en IT

A menudo, tenemos tendencia a creer que las herramientas nos van a proporcionar todas las respuestas que necesitamos con sólo apretar un botón (en el mejor de los casos). Toda la subjetividad que conlleva un clásico análisis de campo (descriptivo, empírico), basado en entrevistas, cuestionarios y observaciones varias, aunque, no por ello, ausente de metodología, parece condicionar su validez frente a un análisis basado en el uso de una herramienta generalmente específica y dedicada. El proceso analítico en que se basa la herramienta suele considerarse mucho más objetivo y, desde luego, mucho más racional en comparación con el anterior. De hecho, no podemos olvidar que las herramientas de análisis en general permiten obtener modelos conceptuales que, a su vez, permiten interpretar datos, predecir implicaciones y, por tanto, tomar decisiones; pero, frecuentemente, en esa creencia se pasa por alto un detalle fundamental, y es que ninguna herramienta o aplicación informática puede sustituir el conocimiento deductivo y la propia experiencia de quien realiza el análisis. Sobre todo, si se tiene en cuenta que, en muchos casos, la herramienta se basa o permite elegir opciones de tipo cualitativo donde es el propio usuario quien valora subjetivamente las variables en las que se fundamentarán los cálculos internos (por ejemplo, una valoración de frecuencia, probabilidad o degradación); cálculos que, por otro lado, son también discutibles.

De lo expuesto hasta el momento no debe deducirse necesariamente que esté en contra del uso de estas herramientas en el proceso de análisis; todo lo contrario, se trata simplemente que no comparto (o no entiendo) el uso indiscriminado que, en muchas ocasiones, se hace de ellas cuando, no disponiendo de conocimiento suficiente de la situación actual de la Compañía, se pretende, cual Oráculo, buscar respuestas a preguntas que no han sabido formularse primero. En estos casos, las respuestas perseguidas se contextualizan en un supuesto análisis numérico que, amparado en sus mecanismos de cálculo, esconde una carencia de conocimiento, de metodología, de objetivos y, en definitiva, de definición, que se hace patente, especialmente, en aquellos casos en los que no se precisa ninguna herramienta para valorar unas variables que son obvias, muchas veces, "a flor de piel". Si, además, se toman en cuenta los costes, la obtención de una valoración numérica final, no siempre compensan el tiempo invertido en la entrada y posterior mantenimiento-actualización de los datos y la dedicación que requiere el proceso relacional y de análisis.

Puesto que los procesos de negocio están soportados por servicios de TI, quizá deberíamos conocerlos primero un poco mejor.


No hay comentarios: