Las normas de gobernanza y gestión de TI en la contratación pública
No parece necesario insistir en los beneficios de la normalización para todos los actores de cualquier sector de actividad y, en este caso, para la gestión de servicios y la gobernanza de las TI. Por eso, de forma recurrente, surge el debate acerca de la inclusión de las normas de ISO y de UNE como parte de los requisitos y cláusulas de los correspondientes Pliegos de Prescripciones Técnicos. En un principio, esta necesidad o conveniencia se presenta como sobradamente justificada en aquellas normas que articulan requisitos de sistemas de gestión (9001, 20000-1, 27001, …); no obstante, los sistemas de gestión aglutinan todo un conjunto de elementos de la organización que interactúan para establecer políticas, objetivos y procesos para lograr esos objetivos. Constituyen, pues, una valiosa herramienta para la mejora continua del funcionamiento de las organizaciones.
Podría pensarse entonces, ¿qué puede existir de malo en incluir un requisito de este tipo en cualquier contratación pública relacionada con la gestión de TI? Pues, como se verá a continuación, ¡existen otras perspectivas diferentes!
Legalidad y espíritu garantista
Y es que una de las señas de identidad de la actuación de las Administraciones Públicas es que siempre debe encontrar respaldo en el marco jurídico establecido. Por ello, los responsables de la función interventora suelen frenar este tipo de requisitos para reconvertirlos en opciones de mejora para los ofertantes.
Y es que más allá de terminados entornos con un mayor nivel de regulación (por ejemplo, el Real Decreto 2200/1995, por el que se aprueba el Reglamento de la Infraestructura para la Calidad y la Seguridad Industrial) o de algunas directrices globales para la mejora de la calidad (por ejemplo, el Real Decreto 951/2005, por el que se establece el marco general para la mejora de la calidad en la Administración General del Estado), se considera que este tipo de requisitos basados en Normas y estándares pueden actuar como freno a la libre competencia de los licitadores.
Un caso de éxito como referente
Parece entonces necesario establecer un puente entre el marco legal que regula el funcionamiento de las Administraciones Públicas y los marcos de gobernanza o de gestión que se definen en las normas de ISO y de UNE. En este sentido un caso de éxito, que puede servir como ejemplo a seguir, lo constituye el Esquema Nacional de Seguridad (ENS); esta norma legal, sancionada por el “Real Decreto 3/2010, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica” articula los requisitos de un verdadero Sistema de Gestión de la Seguridad de la Información adaptado a las Administraciones Públicas que, además, guarda, grandes similitudes con la norma ISO/IEC 27001.
Su naturaleza de norma legal de obligado cumplimiento para las organizaciones incluidas dentro de su alcance se ha convertido en una herramienta definitiva para su implantación obligatoria.
Dado el rol crítico que las Tecnologías de la Información desempeñan en el funcionamiento de las Administraciones Públicas, tal vez imitar el ejemplo del ENS sea una vía que merezca la pena explorar.
Vicepresidente del Subcomité CTN71 / SC40