Está en la página 1de 5

13-Administracin de Tecnologa [Parte 1].

Ing. Carlos Ernesto Garca, M.Sc.


Tecnologa.
En trminos generales, tecnologa es el conjunto de conocimientos indispensables para realizar las operaciones
1
necesarias para transformar insumos en productos, el uso de los mismos o la prestacin de servicios. Tambin se define
como un paquete de conocimientos organizados de distintas formas (cientfico, tcnico, emprico, etc.) provenientes de
diversas fuentes (descubrimiento cientfico, otras tecnologas, libros, manuales, patentes, etc.), a travs de mtodos
diferentes de investigacin, desarrollo, adaptacin, copia, espionaje, expertos, etc.. El conocimiento tecnolgico se
localiza en personas, equipos, productos y documentos. Segn el lugar en que se localice, el conocimiento tecnolgico
se divide en las tres categoras que se definen en el Cuadro 13.1.
En la funcin informtica de una empresa, Cuadro 13.1. Conocimiento tecnolgico segn su localizacin.
tecnologa es el conocimiento necesario
Est incorporado en mquinas y bienes
para apoyar la innovacin y el desarrollo Empotrado en capital
(capital-embodied)
intermedios.
de las actividades de la misma; para
Empotrado
en
personas
Est incorporado en el conocimiento y
proveer los productos y servicios que la UI
experiencia de los humanos.
debe proveer a los usuarios; y sobre todo, (human-embodied)
Toma la forma de documentos de distinta ndole,
para producir la informacin que requieren No empotrado
como manuales, planos, especificaciones de
los mandos gerenciales a nivel operativo, (disembodied)
productos y procesos, patentes, etc.
tctico y estratgico.
Tecnologa Informtica y de Comunicaciones.
La tecnologa que ms incumbe al gerente informtico es la tecnologa informtica y de comunicaciones (TIC). La TIC
comprende tres clases de tecnologa: la tecnologa informtica (TI), la tecnologa de redes (TR) y la tecnologa de
telecomunicaciones (TC); las cuales de definen en el Cuadro 13.2.

Cuadro 13.2. Clases de TIC.


Tecnologa informtica (TI)
Tecnologa de
telecomunicaciones (TC)
Tecnologa de redes (TR)

Comprende hardware y software de computadora; equipo perifrico de computadora; y


la educacin general en el uso y aplicacin de stos.
Incluye el sistema telefnico, el fax y la divulgacin o transmisin por radio, televisin y
medios similares; y la educacin general en el uso y aplicacin de stos
Abarca Internet, telefona mvil, telefona de voz sobre IP (VOIP), comunicaciones va
satlite y otras formas de interconexin como cable, DSL y banda ancha; y la educacin
general en el uso y aplicacin de stos

Desde mediados del siglo pasado la TIC se ha ido integrando cada vez ms a las actividades de las empresas de
manera acelerada. Ya iniciado el siglo XXI, como producto del abaratamiento de los equipos de computacin, el inmenso
desarrollo de Internet y la generalizacin del comercio electrnico, se reconoce universalmente que la TIC es y seguir
siendo por dcadas un factor estratgico para cualquier empresa, del que inevitablemente depende para mejorar de
manera continua su posicin competitiva en un mercado que tiende irreversiblemente hacia la globalizacin, agregando
valor a sus productos y servicios y reduciendo costos.
La necesidad de administrar adecuadamente la TIC de una empresa se justifica, no slo por ser un factor estratgico que
evoluciona da a da en diversidad, funcionalidad y complejidad; sino tambin por su inagotable potencial para administrar
mejor los recursos de la empresa, estrechar su relacin con clientes y proveedores, ampliar sus mercados, incrementar
su reputacin, generar confianza entre elementos de su entorno y promover su innovacin y crecimiento. Aparte de ello,
la adopcin de TIC no slo representa beneficios y oportunidades. Su integracin en las actividades de la empresa
tambin conlleva riesgos de diversa ndole que deben ser ponderados adecuadamente.
Administracin de la TIC.
La administracin de la TIC de una Cuadro 13.3. Principios de la administracin de la TIC.
empresa se basa en el principio Alineamiento La adopcin de una determinada TIC deben estar en plena
fundamental de alineamiento, y en dos
concordancia con los objetivos estratgicos de la UI; y con el plan
principios derivados de ste: valor
estratgico de la empresa.
agregado y riesgo mnimo, que se definen Valor
Toda TIC adoptada por la empresa debe contribuir al valor
en el Cuadro 13.3.
agregado de los productos o servicios que provee. Tal
agregado
contribucin debe poder medirse.
Estos principios constituyen la gua
fundamental del gerente informtico para la Riesgo
Los riesgos asociados con la adopcin y operacin de TIC en el
mbito de la inversin y la seguridad deben estar adecuadamente
solucin de problemas y la toma de mnimo
ponderados y debidamente controlados.
decisiones con respecto a la adopcin y
1

Decisin 85 del Pacto Andino.

2
operacin de la TIC de la organizacin. Por ejemplo, todo requerimiento de desarrollo de un nuevo SI que no encaje dentro del
plan estratgico de la empresa sera descartado automticamente; y todos los que s se enmarquen en el plan seran
calendarizados segn una prioridad determinada por su contribucin de valor agregado combinada con los riesgos que implique
para la empresa su desarrollo.
Ante la inexorable y acelerada innovacin de la TIC y su cada vez mayor impacto y trascendencia en las empresas, hoy
en da se reconoce que la administracin de este recurso es una labor altamente compleja; y que la responsabilidad de la
misma debe ser compartida por todos los miembros de la direccin superior a travs de una estructura como el
COMINFO, en el cual el gerente informtico tiene un papel preponderante.
Existen varias organismos internacionales que han propuesto modelos y guas muy valiosas para llevar a cabo esta
compleja labor. Las tres que se presentan en al cuadro 13.4 estn muy relacionadas entre s.
Cuadro 13.4. Organizaciones internacionales que proponen modelos para administracin de TIC.
Information Systems Audit and Es una organizacin de profesionales con miembros en ms de 100 pases, dedicada a brindar
informacin sobre manejo efectivo de TI y tecnologas relacionadas, a personas de direccin
Control Association, ISACA

ejecutiva, gerencia media y practicantes. Fue creada en 1969 para cubrir las necesidades
nicas, diversas y de alta tecnologa en el naciente campo de la TI.
Information Systems Audit and Esta organizacin que realiza investigaciones para evaluar las ltimas pautas a seguir en la
implementacin y aplicacin de TI emergente, con el fin de expandir el conocimiento y el valor
Control Foundation, ISACF
del campo de control y manejo de la TI. Fue creada en 1976 y est asociada con ISACA.
Es una organizacin creada en 1998 por ISACA e ISACF para avanzar en el entendimiento y la
IT Governance Institute,
adopcin de principios de gobierno de TI. Ha sido el encargado de publicar la tercera edicin del
ITGI
COBIT, un importante modelo de administracin de TIC.

Modelo COBIT
Entre los modelos propuestos para administracin de TIC destaca COBIT (Control Objectives for Information and Related
Technologies) que se traduce al espaol como Objetivos de Control para la Informacin y Tecnologas Relacionadas.
Objetivo y misin. El COBIT es un proyecto permanente administrado por el IT Governance Institute que tiene como
objetivo principal desarrollar polticas claras y buenas prcticas para la seguridad y el control de Tecnologa de
Informacin, con el fin de obtener la aprobacin y el apoyo de las entidades comerciales, gubernamentales y
profesionales en todo el mundo. La meta del proyecto es desarrollar estos objetivos de control principalmente a partir de
la perspectiva de los objetivos y necesidades de la empresa. Su misin es Investigar, desarrollar, publicar y promover
un conjunto de objetivos de control en tecnologa de informacin con autoridad, actualizados, de carcter internacional y
aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores.
Gobierno de TI. COBIT garantiza el enlace de la TIC de la empresa con los objetivos estratgicos corporativos a travs
de una estructura organizativa llamada Gobierno de TI, que forma parte de la estructura organizativa de la empresa. Se
define como una estructura de relaciones y procesos para dirigir y controlar a la empresa con el fin de que sta pueda
cumplir sus metas dando valor agregado mientras balancea sus riesgos versus el retorno sobre TI y sus procesos.
Tal como el COMINFO, el Gobierno de TI constituye un medio idneo para alcanzar una visin corporativa a travs de la
compatibilidad que promueve entre la TIC de la empresa y sus objetivos estratgicos. Adems, el Gobierno de TI provee
mecanismos para el seguimiento del desempeo de la TIC para controlar que sta y la informacin que produce soportan
efectivamente sus objetivos y estrategias.
Estructura. El modelo COBIT se presenta como una estructura de tres dimensiones que se describen en los siguientes
prrafos: criterios de informacin, recursos de TIC y procesos.
Criterios. Los criterios de informacin son requerimientos generales que la informacin que se produce a travs de la
TIC debe cumplir para satisfacer las necesidades de la empresa. Son los siete que se definen en el Cuadro 13.5.
Cuadro 13.5. Criterios de informacin del modelo COBIT.
La informacin debe ser pertinente para la empresa y adems oportuna, correcta, consistente y
utilizable.
En la produccin de la informacin deben utilizarse ptima y econmicamente los recursos de TIC.
Eficiencia
Confidencialidad La informacin debe estar protegida contra la divulgacin no autorizada.
La informacin debe ser precisa, suficiente, consistente y vlida, en concordancia con los valores y
Integridad
expectativas de la empresa.
La informacin debe estar disponible siempre que sea requerida por un proceso de la empresa; y
Disponibilidad
los recursos necesarios para producirla deben estar salvaguardados.
La informacin y procesos que la producen deben cumplir con las leyes, regulaciones y acuerdos
Cumplimiento
contractuales a que los procesos de la empresa estn sujetos.
La informacin debe proveerse apropiadamente para que la administracin pueda operar
Confiabilidad
adecuadamente los procesos de la empresa y ejercer sus responsabilidades.

Efectividad

3
El modelo COBIT no incluye el criterio de calidad porque est implcito en los siete criterios; ni el de costo por estar cubierto en
el criterio de eficiencia.
Recursos. La segunda dimensin del COBIT son los recursos que utiliza la empresa para producir la informacin y los divide
en cinco clases, tal como se muestra en el Cuadro 13.6.

Cuadro 13.6. Recursos que utiliza la empresa para producir su informacin, segn COBIT.
Datos

Sistemas de aplicaciones
Tecnologa

Instalaciones
Personal

Descripciones de atributos elementales de personas, objetos o eventos en forma de


texto, cifra, grfico, sonido, etc., estructurados y no estructurados; de origen interno o
externo; y de relativamente poco significado para un usuario.
El conjunto de los procedimientos manuales y mecanizados de la empresa.
La TIC comprende: hardware y software de computadora; equipo perifrico de
computadora; bases de datos; sistemas operativos; redes; etc.; y la educacin
general en el uso y aplicacin de stos.
Recursos para alojar y dar soporte a los sistemas de informacin.
Conocimiento y habilidades del recurso humano de la empresa necesarios para
planificar, organizar, adquirir, desarrollar, entregar, soportar y monitorear los servicios
informticos y sistemas de informacin de la empresa.

Procesos. Los procesos componen la tercera


dimensin del COBIT. Un proceso es una serie de
actividades o tareas conjuntas con cortes naturales
de control, necesarias para alcanzar un resultado
medible. Los procesos, 34 en total, se agrupan en
cuatro dominios, delineando una estructura
jerrquica como se ve en la Figura 13.1. En el nivel
superior estn los cuatro dominios, en el segundo
nivel estn los 34 procesos y en el nivel inferior las
actividades. Los cuatro dominios se definen
textualmente en el modelo COBIT segn se puede
ver en el Cuadro 13.7. Los 34 procesos estn
listados en el Cuadro 1378.

Figura 13.1. Jerarqua dominios, procesos y actividades.


Dominios

Planeamiento
y organizacin
Procesos
PO1-PO11

Adquisicin e
implementacin

Procesos
AI1-AI6

Entrega y
soporte

Procesos
DSO1-DS13

Monitoreo

Procesos
M1-M4

A c t i v i d a d e s

Cuadro 13.7. Los cuatro dominios del modelo COBIT.


Planeamiento y
organizacin
Prefijo : PO
Procesos: 11

Este dominio cubre las estrategias y las tcticas y se refiere a la identificacin de la forma en que
la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos del
negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y
administrada desde diferentes perspectivas. Finalmente, deber establecerse una organizacin y
una infraestructura tecnolgica apropiadas.

Adquisicin e
implementacin
Prefijo : AI
Procesos: 6

Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o
adquiridas, as como implementadas e integradas dentro del proceso del negocio. Adems, este
dominio cubre los cambios y el mantenimiento realizados a sistemas existentes, para asegurar
que el ciclo de vida es continuo para esos sistemas.

Entrega y
soporte
Prefijo : DS
Procesos: 13

En este dominio se refiere a la entrega o distribucin de los servicios requeridos, que abarca
desde las operaciones tradicionales hasta el entrenamiento, pasando por la seguridad en los
sistemas y la continuidad de las operaciones as como aspectos sobre entrenamiento. Con el fin
de proveer servicios, debern establecerse los procesos de soporte necesarios. Incluye el
procesamiento de los datos ejecutado por los sistemas de aplicacin, frecuentemente clasificados
como controles de aplicacin.

Monitoreo
Prefijo : M
Procesos: 4

Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su
calidad y suficiencia en cuanto a los requerimientos de control. Este dominio tambin advierte a la
Administracin sobre la necesidad de asegurar procesos de control independientes, los cuales son
provistos por auditoras internas y externas u obtenidas de fuentes alternativas.

4
La estructura tridimensional del COBIT puede representarse como un
cubo, Figura 13.2, para mostrar la estrecha relacin existente entre
procesos y recursos de TIC y los criterios de Informacin. La
interrelacin ocurre as: se ejecutan procesos de TIC para satisfacer los
requerimientos de la empresa expresados de manera general como
criterios de informacin, utilizando recursos de TIC.
Objetivos de control. Un objetivo de control es una declaracin
formal, clara y precisa del resultado que se desea alcanzar a travs
de procedimientos de control, en una actividad de TIC en particular.
Los objetivos de control del COBIT estn dirigidos al personal de
direccin de la empresa, al personal de la UI y a los usuarios
propietarios de los procesos de la empresa.
Los objetivos de control se ubican en dos niveles: los de alto nivel, que
corresponden a los 34 procesos, y los detallados. A partir del marco de
referencia perfilado por los criterios, procesos y recursos, el modelo
COBIT define 318 objetivos de control detallados en total, especificando
entre tres y treinta para cada proceso.
.

Figura 13.2. Estructura del COBIT.

Dominios
Procesos

Actividades

Cuadro 13.8. Los 34 procesos del modelo COBIT, segn dominio.


Dominio

Cdigo

Proceso

Planeamiento y
organizacin

PO1
PO2
PO3
PO4
PO5
PO6
PO7
PO8
PO9
PO10
PO11
AI1
AI2
AI3
AI4
AI5
AI6
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
M1
M2
M3
M4

Definir un plan estratgico de tecnologa de informacin


Definir la arquitectura de informacin
Determinar la direccin tecnolgica
Definir la organizacin y de las relaciones de ti
Manejar la inversin en tecnologa de informacin
Comunicar la direccin y aspiraciones de la gerencia
Administrar recursos humanos
Asegurar el cumplimiento de requerimientos externos
Evaluar riesgos
Administrar proyectos
Administrar calidad
Identificar soluciones
Adquirir y mantener software de aplicacin
Adquirir y mantener arquitectura de tecnologa
Desarrollar y mantener procedimientos relacionados con ti
Instalar y acreditar sistemas
Administrar cambios
Definir niveles de servicio
Administrar servicios prestados por terceros
Administrar desempeo y capacidad
Asegurar servicio continuo
Garantizar la seguridad de sistemas
Identificar y asignar costos
Educar y entrenar a los usuarios
Apoyar y asistir a los clientes de ti
Administrar la configuracin
Administrar problemas e incidentes
Administrar datos
Administrar instalaciones
Administrar operaciones
Monitorear los procesos
Evaluar lo adecuado del control interno
Obtener aseguramiento independiente
Proporcionar auditora independiente

Adquisicin e
implementacin

Entrega y
soporte

Monitoreo

La especificacin los objetivos de control sigue un formato estndar a la manera de un manual de normas. Para cada objetivo de
control de alto nivel, o proceso, se especifica el nombre del proceso y a continuacin: qu requerimientos de la empresa se
satisfacen; a travs de qu actividades se hace posible, qu factores o insumos debe tomar en consideracin, tipos de recurso
de TIC administrados por el proceso y criterios de informacin aplicables al objetivo y grado de impacto de stos: primario (P)
cuando los impacta directamente o secundario (S) cuando slo se satisfacen parcial o indirectamente. Finalmente se especifican
los objetivos de control detallados. (Ver anexo)

5
ANEXO: OBJETIVO DE CONTROL DE ALTO NIVEL:
DOMINIO : PLANEACION Y ORGANIZACION
PROCESO: Definicin de arquitectura de informacin (PO2).
Criterios de informacin:
Efectividad
Eficiencia
Integridad
Disponibilidad
Cumplimiento
Confidencialidad
Confiabilidad

Recursos afectados:
P
S
S
S

Personal
Aplicaciones
Tecnologa
Instalaciones
Datos

Satisface los requerimientos del negocio de:


Organizar de la mejor manera los sistemas de informacin.
Se hace posible a travs de:
La creacin y mantenimiento de un modelo de informacin de negocios y asegurando que se definan sistemas
apropiados para optimizar la utilizacin de esta informacin
Tomando en consideracin:
 Repositorio automatizado de datos y diccionario.  Reglas de sintaxis de datos.
 Normas de arq. de informacin de la empresa.
 Un modelo de informacin que represente el negocio.
 Propiedad de la informacin y clasificacin con
base en criticidad/seguridad.
OBJETIVOS DE CONTROL DETALLADOS:
2.1 Modelo de la Arquitectura de Informacin.
OBJETIVO DE CONTROL
La informacin deber conservar consistencia con las necesidades y deber ser identificada, capturada y comunicada de
tal forma y dentro de perodos de tiempo que permitan a los responsables llevar a cabo sus tareas eficiente y
oportunamente. Asimismo, la funcin de sistemas de informacin deber crear y actualizar regularmente un modelo de
arquitectura de informacin, abarcando el modelo de datos corporativo y los sistemas de informacin asociados. El
modelo de arquitectura de informacin deber conservar consistencia con el plan a largo plazo de tecnologa de
informacin.
2.2 Diccionario de Datos y Reglas de Sintaxis de Datos de la Corporacin.
OBJETIVO DE CONTROL
La funcin de servicios de informacin deber asegurar la creacin y la continua actualizacin de un diccionario de datos
corporativo que incorpore las reglas de sintaxis de datos de la organizacin.
2.3 Esquema de Clasificacin de Datos.
OBJETIVO DE CONTROL
Deber establecerse un marco de referencia de clasificacin general relativo a la ubicacin de datos en clases de
informacin (por ejemplo, categoras de seguridad), as como la asignacin de propiedad. Las reglas de acceso para las
clases debern definirse apropiadamente.
2.4 Niveles de Seguridad.
OBJETIVO DE CONTROL
La Gerencia deber definir, implementar y mantener niveles de seguridad para cada una de las clasificaciones de datos
identificadas con un nivel superior al de no requiere proteccin. Estos niveles de seguridad debern representar el
conjunto de medidas de seguridad y de control apropiado (mnimo) para cada una de las clasificaciones y debern ser
reevaluados peridicamente y modificados en consecuencia. Se deben establecer los criterios para soportar los
diferentes niveles de seguridad en toda la empresa para resolver las necesidades del creciente comercio electrnico, la
computacin mvil y los entornos de teleconmutacin.
.