Para los especialistas en implementación de normativas o estándares la decisión de elegir una en particular va depender del perfil de las empresas o las instituciones, así como de sus necesidades. 
El director de servicios de riesgos empresariales de Deloitte, Andrés Casas, menciona que en ciertas ocasiones las empresas entran en confusiones pensando qué estándares pueden implementar. Debido a la diversidad que existe. Por ejemplo los hay para seguridad, desarrollo de software, entrega de servicios, marco de control, entre otros.
Asevera que las preguntas de rigor deben ser ¿Por cuál me decido? Y ¿Cuál de estos factores me genera mayor valor?
“Si es una empresa proveedora de servicios como un data center que vende espacios en servidores y los administra. Una normativa que les ayudaría mucho sería una de gestión de seguridad; pero si la compañía está orientada a una transformación tecnológica donde esté llevando un proyecto de cambio Core que tomará de 2 a 3 años lo ideal sería adoptar una que asegure que eso va funcionar”, enfatiza.
Según Casas, una vez que se tengan identificados los objetivos, el segundo paso es llevar a cabo una evaluación de lo que la organización tiene “al día de hoy”. Porque el estándar proporcionará una serie de criterios, a partir de allí se debe analizar los que se tiene implementado, y qué nivel la entidad tiene en cada uno de ellos.
Producto de esa evaluación se debe desarrollar un plan de acción con el cual se cerrará la brecha entre la situación actual que existe, la que se identificó y todos los criterios que está pidiendo la norma o le exige la nueva ley.
El producto de ese plan de proyectos en algunas normativas es tan grande que se convierte en un programa compuesto de varios proyectos, por lo cual se requerirá ejecutar una estrategia o solicitud de presupuesto, esperar la aprobación para después comenzar con la construcción del mismo. En este último punto se debe considerar tener un control sobre los objetivos de los beneficios planteados.
Para Inti Grimaldi, gerente de soporte a ventas de PBS, obtener una certificación por sí misma no garantiza tomar ventaja de una normativa y aprovecharla al máximo, porque el reto no consiste en ganar la certificación como se aprueba un examen final y el estudiante ya no sigue estudiando porque allí terminó todo.
Él es de la opinión que el desafío y el verdadero éxito se logra durante el mismo proceso y su correcta implementación, de esta forma en la medida que las personas miembros de la organización sientan el orgullo y la satisfacción que logran a nivel laboral sus objetivos individuales, y sobrepasan sus metas como organización y tienen una cultura ordenada, la certificación de un estándar no será un logo más dentro de la marca de la compañía o un eslogan nuevo para un valla publicitaria o anuncio en el periódico.
Marco Ulate, gerente de procesos de negocios de GBM, aconseja que las organizaciones tengan claro que las normativas que van implementar tengan sentido de negocio, no es raro encontrar firmas que adoptan alguna en particular porque es lo que está de moda, también advierte que deben considerar que poner alguna en uso requiere de un esfuerzo e inversión, así como evaluar cuál es el valor que va a agregar a su negocio.
Ulate detalla que hay dos razones principales por los cuales las empresas o instituciones adoptan un estándar. Una de ellas, es porque es un requisito por los clientes para que puedan aceptar la prestación de sus servicios, de manera que les exigen que implemente una en particular. Y la otra, es porque desean obtener un mayor nivel de excelencia, productividad y competitividad en el negocio.
Para Ulate se debe considerar qué normativa será útil y traerá beneficios. Menciona que hay dos razones por las cuales debería ser adoptado un estándar, una porque es un requisito exigido por el cliente para ofrecerle un servicio o por una ley específica, y la otra es para buscar un mayor nivel de excelencia, productividad o competitividad del negocio sin que eso implique una exigencia del mercado.
El experto de GBM detalla que implementar una norma exigida es una forma para que la empresa se posicione mejor versus que otra que no la tiene. Por ejemplo, algunos bancos por cuestiones legales necesitan asegurar que sus proveedores de servicios de tecnología operen con ciertas normas que garanticen el adecuado cumplimiento del servicio que se les otorga.
“Porque si no se logra demostrar que los procesos del proveedor operan de conformidad con lo exigido por esas normas, las instituciones bancarias no podrían contratar dichos servicios. Es en estos casos donde la adopción se convierte en un factor crítico de éxito cuando son requisitos de los clientes”, comenta Ulate.
En el caso de normativas que están relacionadas con alcanzar niveles de excelencia, productividad o competitividad no es un factor crítico inmediato de éxito, pero si lo podría ser a largo plazo. Si realmente esa norma va posicionar a la compañía de una mejor forma en el mercado.
Sobre el dilema de hasta qué punto es válido o necesario implementar normativas en una empresa o institución, Padilla menciona que hay algunas que tienen estrategias de trabajo en temas como procesos de gestión y medición de calidad pero que no tienen adoptada una normativa ISO 9000, y su funcionamiento no por eso deja de ser bueno.
Frank Rosich, director IT de Grupo Marta, añade que el primer aspecto a considerar es el tamaño de la organización. Porque algunas normativas como COBIT, ITIL y PMI fueron desarrolladas para las necesidades de las empresas grandes de los países del primer del mundo.
La razón del señalamiento de Rosich es que el esfuerzo y la cantidad de personal que se necesita para implementar estas metodologías son considerables y definitivamente no están al alcance de una gran mayoría de las empresas del área centroamericana.
“Si bien es cierto las empresas consultoras abogan por que estas metodologías pueden ser implementadas en cualquier tamaño de organización (incluyendo Pymes), lo cierto es que las empresas pueden perder el foco de que estas metodologías son el medio para facilitar gobernabilidad de TI y podrían caer en la trampa de convertir la documentación y los procesos sugeridos por las metodologías en el fin último de IT, de manera que descuidarían el enfoque y los recursos importantes para desarrollar su verdadero objetivo: contribuir a dar más valor a los procesos del negocio”, menciona Rosich.
Pero esto no quiere decir que las Pymes de Centroamérica no adopten algunas de las mejores prácticas de estas metodologías para mejorar muchos de sus procesos, según Rosich, y aconseja que el Chief Information Office (CIO) tiene que decidir cuáles de las mejores prácticas aplica a su negocio y cuáles no, al considerar qué procesos aportan más valor a la empresa, así como la cantidad de recursos con que cuenta.
