Bogot, 12 al 14 de Septiembre de 2011

$obierno de %I

&lga '(c)a $iraldo *

ogiraldo+(niandes#ed(#co ,ni-ersidad de los Andes

ACIS Asociacin Colombiana de Ingenieros de Sistemas * http !!"""#acis#org#co

.ndice
Introd(ccin A cerca del $obierno de %I /stndares de $obierno de %I $obierno de %I en las empresas colombianas# Concl(siones 0e1erencias 2reg(ntas

Introd(ccin

Bogot, 12 al 14 de Septiembre de 2011

&rigen
Gobierno de TI en las empresas ha e3istido siempre
4ormas de (so interno de %I 5e1inicin de es6(emas de seg(ridad

2or el alcance de %I 78%I, 9negocio 8interno, 9e3terno, 8local, 9 omnipresente: ten)a menos importancia, no era com(nicado no lo entend)a %I, no el importaba al negocio /3ist)a como tal, a(n6(e sin esta denominacin; se aplicaba a(n6(e no ig(al 6(e ho< 2recedido por el $obierno Corporati-o
4

$obierno Corporati-o
S(rge por crisis en entidades S='I5AS 7/nron, %<co, >orldcom,: para proteger los intereses de los sta?eholders @(A esB
5erechos < responsabilidades de la gerencia, la C(nta, accionistas e interesados en la empresa# 7&/C5:
D conC(nto de reglas < cond(ctas D se eCerce la administracin < el control de las empresasD e6(ilibrio adec(ado entre la capacidad empresarial < el control, D entre el desempeEo < el c(mplimiento 7Cdigo de $obierno Corporati-o de BAlgica, 2004: D aceptacin, por parte de la administracin, de los derechos inalienables de los accionistas D < de s( propia 1(ncin 7ComitA sobre $obierno Corporati-o de la F(nta de *alores < Bolsa de India, 200G:
H

$obierno Corporati-o < $obiernos espec)1icos

A cerca de $obierno de %I

Bogot, 12 al 14 de Septiembre de 2011

5e1inicin
/speci1icacin de los derechos de decisin < de los responsables de Astas para lograr comportamientos deseables en el (so de %I 7CIS09JI%: 2rincipios para 6(e el comportamiento de los miembros de la organiKacin propenda por (n (so e1ecti-o < e1iciente de %I 7IS&: 5ireccionamiento de %I para aseg(rar 6(e %I 7I%$I:
Se alinea con la empresa < logra los bene1icio prometidos A<(da a e3plotar las oport(nidades < ma3imiKa los bene1icios ,sa responsablemente los rec(rsos de %I Administra los riesgos relacionados con %I
L

4ecesidad de $obierno de %I
'a importancia de la in1ormacin en prod(ctos < ser-icios ha a(mentado 'os riesgos de la in1ormacin han a(mentado 'a reg(lacin sobre la in1ormacin ha a(mentado 'a in-ersin en capt(ra, proceso, distrib(cin, maneCo < disposicin de la in1ormacin ha a(mentado 'a recoleccin < digitaliKacin de la in1ormacin es ms 1cil /l -alor de la in1ormacin es di1)cil de asignar
M

Importancia del $obierno de %I

5ireccionamiento de la in-ersin en %I
In-ersin promedio en %I 4#2N de los ingresos an(ales Orec(entemente la in-ersin en %I es s(perior a la in-ersin en otros acti-os

&mnipresencia de %I < descentraliKacin de la in-ersin Inno-acin de negocio basada en %I < creacin de n(e-os riesgos *alor de %I
AprendiKaCe organiKacional Capacidad de generacin de -alor limita por la adec(ada seleccin de %I

'imitaciones de la alta gerencia para administrar %I 2ercepcin del mercado

10

Bene1icios del $obierno de %I

JeCoras en la gestin de riesgos relacionados con %I JeCoras en com(nicacin < relaciones %I negocio 5ismin(cin de costos de %I; e3celencia operacional JeCora en entrega de -alor A(mento del 0&I; 0&A s(perior 720N: A(mento en N de pro<ectos e3itosos JeCor seleccin < adopcin de tecnolog)as emergentes

11

Introd(ccin a la seccin

/stndares de $obierno de %I

Bogot, 12 al 14 de Septiembre de 2011

Conte3to

1G

,so de estndares para implantar $obierno de %I

Actual I%I' o IS& 20000 IS& 1PPMM, IS& 2P000 < otros estndares de seg(ridad Si3 Sigma C&BI% 2JI!2JB&Q 0is? I%

Tendencia I%I' o IS& 20000 IS& 2P000 < otros estndares de seg(ridad Si3 Sigma C&BI% 2JI!2JB&Q CJJ o CJJI

I%I'!I%$I9 In1ormation %echnolog< In1rastr(ct(re 'ibrar<

ConC(nto doc(mento de meCores prcticas, orientadas a la Administracin de los ser-icios de %I a tra-As de (n en1o6(e basado en procesos
'eng(aCe comRn < de dominio pRblico 2ro-ee g()a, no es (n man(al para seg(ir pasos Independiente de la in1raestr(ct(ra (tiliKada, sector del negocio < de la estr(ct(ra organiKacional Aplicable a organiKaciones grandes < pe6(eEas

-G#0 organiKada en H libros

/strategia de ser-icios 5iseEo de ser-icios %ransicin del ser-icio &peracin del ser-icio JeCora Contin(a del ser-icio
1H

I%I'9/lementos 2rincipales
Estrategia de Servicio *is(aliKa <
concept(aliKa el conC(nto de ser-icios 6(e logran los obCeti-os de negocio

Diseo de Servicio 5iseEa los ser-icios

con los obCeti-os de (tilidad < garant)a en mente Transicin del Servicio: 2repara los ser-icio para ponerlos en prod(ccin

Operacin del Servicio: maneCa los

ser-icios en el d)a a d)a, garantiKando s( (tilidad < el c(mplimiento de los obCeti-os

Mejoramiento Continuo del Servicio:

/-alRa los ser-icios e identi1ica maneras para meCorar la (tilidad < la garant)a del soporte de los obCeti-os de negocio

I%I'9-G#0

1P

I%I' 9 /strategia del ser-icio

&bCeti-o 5iseEar, desarrollar e implementar el maneCo de ser-icios, no solo desde el p(nto de -ista de capacidad, sino tambiAn como (n acti-o para la estrategia %picos cla-es
Acti-os estratAgicos, (tilidad < garant)a del ser-icio 2orta1olio de ser-icios, catlogo de ser-icios Acti-os del ser-icio /spacio del mercado /conom)as del ser-icio 0&I, 1inanciero, 2orta1olio de ser-icios, maneCo de la demanda Jodelo de ser-icio

I%I' 9 5iseEo del ser-icio

&bCeti-o 5iseEar < desarrollar los ser-icios < el proceso de administracin de los mismos, con-irtiendo los obCeti-os estratAgicos en porta1olios de ser-icios < acti-os de ser-icio 2rocesos cla-es
Administracin de ac(erdo de ser-icios Administracin del catlogo de ser-icios Administracin de la disponibilidad Administracin de la contin(idad de los ser-icios de %I Administracin de pro-eedores

&tras reas de trabaCo

Alternati-as de apro-isionamiento ! bRs6(eda de ser-icio

I%I' 9 %ransicin del ser-icio

&bCeti-o 'le-ar el ser-icio diseEado a prod(ccin 2rocesos cla-es
JaneCo del cambio Acti-os del ser-icio < administracin de con1ig(racin Administracin del conocimiento 2laneacin de la transicin < soporte Administracin de las -ersiones e implementacin 2r(eba del ser-icio < -alidacin /-al(acin JaneCo organiKacional < c(lt(ral del cambio

I%I' 9 &peracin del ser-icio

&bCeti-o JaneCar e3itosamente (n ser-icio en prod(ccin en el d)a a d)a 2rocesos Cla-es
/-entos, 0e6(erimientos, incidentes, administracin de problemas

O(nciones cla-es
Jesa de a<(da, &peracin de %I, JaneCo %Acnico, JaneCo de la aplicacin

Balancear los con1lictos en la operacin del ser-icio

I%I' 9 JeCora contin(a del ser-icio

&bCeti-o Crear < mantener -alor para los clientes a tra-As de (n meCor diseEo, introd(ccin < operacin de los ser-icios 2rocesos in-ol(crados
Administracin de los ac(erdos de ser-icio 'os siete pasos para el meCoramiento de los procesos

&tros temas
Jodelo de planear9hacer9-eri1icar9act(ar Jodelo de la meCora contin(a del ser-icio 'os conceptos de -alor de negocio, l)nea base < mAtricas

C&BI%
In-estigar, desarrollar, p(blicar < promo-er obCeti-os de control de %I rectores, act(aliKados e internacionalmente aceptados; para ser (tiliKados diariamente por gerentes de negocio, pro1esionales de %I < pro1esionales de aseg(ramiento Consolidarse como l)der m(ndialmente reconocido en gobierno, control < aseg(ramiento de la gestin de %I Base de trabaCo 40 estndares, marcos de trabaCo, directrices < meCores prcticas de %I /n1ocado en I partic(larmente
C&S& %he Committee o1 Sponsoring &rganiKations o1 the %read"a< Commission I%I' In1ormation %echnolog< In1rastr(ct(re 'ibrar< 7&$C1: IS&!I/C 1PPMM 200H Sistemas de gestin de seg(ridad de in1ormacin CJJI Capabilit< Jat(rit< JodelS Integration 7S/I2: 2JB&Q 2roCect Janagement Bod< o1 Qno"ledge 72JIG: ISO In1ormation Sec(rit< Oor(m
1# &11ice o1 $o-ernment Commerce 2# So1t"are /ngineering Instit(te G# 2roCect Janagement Instit(te

C&BI%9Treas Ooco
Alineacin estratAgica Aseg(rar -)nc(lo, mantener < -alidar la entrega de -alor /ntregar -alor pro-eerlo, manteniendo la optimiKacin de costos Administracin riesgo 6(A tanto se as(men riesgos, 6(A se re6(iere para minimiKarlos Administracin rec(rsos optimiKar in-ersin < administrarla adec(adamente Jedida desempeEo seg(imiento < monitoreo

C&BI%9Caracter)sticas
Caracter)sticas
/n1ocado al negocio &rientado a procesos Basado en control 5ireccionado por mAtricas /1icacia /1iciencia Con1idencialidad Integridad 5isponibilidad C(mplimiento Con1iabilidad

0ec(rsos
Aplicaciones In1ormacin In1raestr(ct(ra 2ersonas

Criterios In1ormacin

C&BI%9Caracter)sticas

C&BI%

C&BI%9 Componentes
Agr(pamiento lgico de procesos enc(adrados sobre el ciclo 2U*A Serie de acti-idades -inc(ladas con cortes 7de control: nat(rales 4ecesarias para lograr (n res(ltado medible, acti-idades 72U*A:, tareas 7discretas:

C&BI%9 *istas

C&BI%9 5ominios

C&BI%9 Jarco $eneral9 2rocesos

C&BI%9 2lanear V &rganiKar

/st %I alineado con la estrategia de negocioB 'a compaE)a (tiliKa de manera ptima s(s rec(rsosB %odos en la organiKacin entienden los obCeti-os de %IB 'os riesgos de %i se entienden < se maneCan adec(adamenteB 'a calidad de los ser-icios de %i es adec(ada para las necesidadesB

C&BI%9 Ad6(irir V Implementar

'os n(e-os pro<ectos entregarn sol(ciones 6(e re6(iere el negocioB 'os n(e-os pro<ectos se entregarn a tiempo < de ac(erdo al pres(p(estoB 'os n(e-os sistemas trabaCaran adec(adamente (na -eK estAn implementadosB 'os cambios se p(eden realiKar sin impactar negati-amente las operacionesB

C&BI%9 /ntregar V Soportar

'os ser-icios son entregados de ac(erdo a las prioridades del negocioB 'os costos son optimiKadosB 'as personas estn capacitadas para (sar %I prod(cti-a < seg(ramenteB 'a con1idencialidad, integridad < disponibilidad de la in1ormacin es adec(adaB

C&BI%9 Jonitorear V /-al(ar

/l desempeEo de %I es medido para detectar problemas antes de 6(e sea tardeB 'a administracin aseg(ra 6(e se controle internamente la e1icacia < e1icienciaB /l desempeEo de %I se p(ede -inc(lar a la metas del negocioB 'os controles de la con1idencialidad, integridad < disponibilidad son adec(adosB

C&BI%9 Control
2ol)ticas, procedimientos, prcticas < estr(ct(ras organiKacionales diseEadas para brindar (na seg(ridad raKonable de la consec(cin de los obCeti-os de negocio < 6(e los e-entos no deseados sern pre-enidos o detectados < corregidos &bCeti-os de control
2ara cada dominio $enAricos 7proceso: 2C1 Jetas < obCeti-os 7SJA00% espec)1icas, medibles, accionable, realistas, orientadas a res(ltados < tiempo: 2C2 2ropiedad 2CG 0epetiti-idad 2C4 0oles < responsabilidades 70ACI 0esponsable, se le rinden c(entas, cons(lta, in1orma: 2CH 2ol)ticas, planes < procedimientos 2CI JeCora del desempeEo

CIS09JI%
Jarco de trabaCo de los derechos de decisin < la responsabilidad Rltima para alentar comportamientos deseables en el (so de las %I 7>eill V 0oss, 2004:# Se en1oca en responder
@(A decisiones se deben hacer para aseg(rar 6(e la gestin < el (so de %I son e1ecti-osB @(iAn debe hacer estas decisionesB 0esponsabilidades, rendicin de c(entas, mAtricas Cmo se deben hacer < monitorear estas decisionesB Jecanismos son (sados para implementar el gobierno 7ComitAs, e6(ipos por procesos, o1icina de ar6(itect(ra, S'As:

GP

CIS09JI% @(A decisiones

GL

CIS09JI% @(A decisiones

2rincipios de %I 7rol de %I:
5ireccin clara de cmo (sar %I para habilitar el negocio Uerramienta para ed(car eCec(ti-os acerca de la estrategia de %I 5e1ine comportamiento deseado 7red(ccin de costos, compartir, inno-ar, crecer: por parte de pro1esionales de %I < (s(arios

CIS09JI% @(A decisiones

Ar6(itect(ra empresarial 7integracin V compatibilidad:
&rganiKacin lgica de aplicaciones, datos e in1raestr(ct(ra re1leCada en (n conC(nto de pol)ticas < opciones tAcnicas

40

CIS09JI% @(A decisiones

In1raestr(ct(ra de %I 76(A se comparte:
Base tanto h(mana como tAcnica para desarrollar capacidades de %I Oacilidad de implementaciones 1(t(ras Consolidacin < red(ccin de costos de operacin de los procesos

41

CIS09JI% @(A decisiones

Aplicaciones de %I 76(A se re6(iere:
0elacionadas con generacin de -alor 0ec(rsos 1initos 0&I Cambiar la 1orma de hacer las cosas Coordinar demanda 2orta1olio /ntrenamiento
42

CIS09JI% @(A decisiones

In-ersin en %I < prioriKacin 7c(nto < c(ndo:
Jas -isible < de ma<or contro-ersia W4ice9to9ha-eX Wm(st9ha-eX
C(nto gastarB /n 6(A gastarB Cmo reconciliar di1erentes necesidades

Infraestructura: base para ser-icios compartidos Transaccin: A(tomatiKar procesos, red(cir costos, incrementar -ol(men Informacin: $estionar, reportar 7interna < e3ternamente: Estrategia: Soporte de entrada a nuevos mercados innovacin
4G

CIS09JI% @(iAn decide

44

CIS09JI% @(iAn decide 6(A

JatriK de ac(erdos de gobierno

IS&!I/C GLH00 200L

&bCeti-o proporcionar (n marco de principios para 6(e los directi-os de las organiKaciones 7d(eEos, miembros de la C(nta, gerencia: lo (tilicen al e-al(ar, dirigir < monitoriKar el (so de las %I Alineada con los principios de gobierno corporati-o recogidos en el WIn1orme Cadb(r<X < en los W2rincipios de $obierno Corporati-o de la &C5/#X S( propsito es g(iar a las personas 6(e estn diseEando e implementando los sistemas de gestin de pol)ticas, procesos < estr(ct(ras organiKati-as 6(e soportan la gobernanKa#
4I

IS& GLH009 2rincipios

0esponsabilidad 'as personas < gr(pos de la organiKacin entienden < aceptan s( responsabilidad con respecto a la demanda < la pro-isin de %I /strategia
'a estrategia act(al de la organiKacin considera las capacidades act(ales < 1(t(ras de %I# 'a plani1icacin estratAgica de %I satis1ace las necesidades act(ales < sig(ientes de la estrategia del negocio

Ad6(isicin 'as ad6(isiciones de %I se realiKan por raKones -lidas, basadas en anlisis raKonables, < con procesos de toma de decisin transparentes# 0endimiento 'as %I deben soportar a la organiKacin, proporcionando ser-icios, ni-eles de ser-icio < calidad re6(erida Con1ormidad %I debe c(mplir con las reg(laciones < legislaciones# Comportamiento h(mano 'as pol)ticas, prcticas < decisiones en %I dem(estran respeto por el comportamiento h(mano
4P

IS& GLH009 Jodelo

/-al(ar el (so act(al < 1(t(ro de las %I# 5irigir la preparacin e implementacin de planes < pol)ticas para aseg(rar 6(e las %I c(mplen los obCeti-os de negocio# JonitoriKar el c(mplimiento de pol)ticas, < el rendimiento con respecto a planes

Introd(ccin a la seccin

$obierno de %I en Colombia

Bogot, 12 al 14 de Septiembre de 2011

0e1erencias
>eill 2#, 0oss F#, I% Governance: How Top Performers Manage IT Decision Rights for Superior Results , Uar-ard B(siness School 2ress, 2004, ISB4 19HM1GM92HG9H ISACA! I%CI, $lobal Stat(s 0eport on the $o-ernance o1 /nterprise I% 7$/I%:, ISACA! I%$I, 2011 &/C5, Corporate $o-ernance, http !!"""#oecd#org!topic!0,GIMM,enY2I4MYGP4GMY1Y1Y1Y1YG P4GM,00#html ISACA, C&BI% Orame"or? 1or I% $o-ernance and Control, http !!"""#isaca#org!Qno"ledge9Center!C&BI%!
H0

Z 2reg(ntas B Z Comentarios B