Ingeniero Informático, UTFSM Magíster en Tecnología y Gestión, UC Introducción Para muchas empresas, la información y la tecnología que las soportan representan sus más valiosos activos. Las empresas exitosas reconocen los beneficios de la tecnología de información y la utilizan para impulsar el valor de sus interesados (stakeholders). Estas empresas también entienden y administran los riesgos asociados, tales como el aumento en requerimientos regulatorios, así como la dependencia crítica de muchos procesos de negocio en TI. La necesidad del aseguramiento del valor de TI, la administración de los riesgos asociados a TI, así como el incremento de requerimientos para controlar la información, se entienden ahora como elementos clave del gobierno de la empresa. El valor, el riesgo y el control constituyen la esencia del gobierno de TI. Introducción El gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que la TI de la empresa sostiene y extiende las estrategias y objetivos organizacionales. El gobierno de TI facilita que la empresa aproveche al máximo su información, maximizando así los beneficios, capitalizando las oportunidades y ganando ventajas competitivas. Las organizaciones deben satisfacer la calidad, los requerimientos fiduciarios y de seguridad de su información, así como de todos sus activos. Control Interno: busca asegurar eficiencia y eficacia de las operaciones, cumplimiento de leyes, normas y regulaciones, y confiabilidad de la información. Introducción Seguridad: busca asegurar la disponibilidad, confidencialidad e integridad de las operaciones. La Gestión de Calidad: busca asegurar la adecuada calidad, entrega y costo de las operaciones. El adecuado uso de los objetivos anteriormente señalados permitirá alcanzar una razonable seguridad en el cumplimiento de los objetivos planteados para los diversos procedimientos de TI. A través de ISACA, el Instituto de Gobierno de TI (IGTI) publica un marco de gobierno y control de TI que incorpora buenas prácticas de administración de TI, el cual se denomina COBIT. COBIT
Existen marcos de referencia para una efectiva gestión de los
recursos de tecnología, los cuales establecen controles mínimos con los cuales una organización debería contar para lograr sus objetivos. Entre los marcos existentes mencionaremos especialmente a COBIT (Control Objetives for Information and Technology), el cual es un marco de referencia integro que incluye distintos aspectos de la gestión de TI. Los Objetivos de Control para la Información y la Tecnología relacionada (COBIT®) brindan buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica. Las buenas prácticas de COBIT representan el consenso de los expertos. Están enfocadas fuertemente en el control y menos en la ejecución. Estas prácticas ayudarán a optimizar las inversiones facilitadas por la TI, asegurarán la entrega del servicio y brindarán una medida contra la cual juzgar cuando las cosas no vayan bien. COBIT
Para que la TI tenga éxito en satisfacer los
requerimientos del negocio, la dirección debe implantar un sistema de control interno o un marco de trabajo. El marco de trabajo de control COBIT contribuye a estas necesidades de la siguiente manera: Estableciendo un vínculo con los requerimientos del negocio Organizando las actividades de TI en un modelo de procesos generalmente aceptado Identificando los principales recursos de TI a ser utilizados Definiendo los objetivos de control gerenciales a ser considerados COBIT
Primero, la dirección requiere objetivos de control que garanticen
que: Se alcancen los objetivos del negocio. Se prevengan o se detecten y corrijan los eventos no deseados. Segundo, la dirección busca continuamente información oportuna y condensada, para tomar decisiones difíciles respecto a riesgos y controles, de manera rápida y exitosa. ¿Qué se debe medir y cómo? . COBIT
COBIT da soporte al gobierno de TI al brindar un
marco de trabajo que garantiza que: TI está alineada con el negocio TI capacita el negocio y maximiza los beneficios Los recursos de TI se usen de manera responsable Los riesgos de TI se administren apropiadamente La medición del desempeño es esencial para el gobierno de TI. COBIT le da soporte e incluye el establecimiento y el monitoreo de objetivos que se puedan medir, referentes a lo que los procesos de TI requieren generar (resultado del proceso) y cómo lo generan (capacidad y desempeño del proceso) COBIT
Áreas Focales del Gobierno de TI
CRITERIOS DE INFORMACIÓN DE COBIT
Para satisfacer los objetivos del negocio, la información necesita
adaptarse a ciertos criterios de control, los cuales son referidos en COBIT como requerimientos de información del negocio. Con base en los requerimientos de calidad, fiduciarios y de seguridad, se definieron los siguientes siete criterios de información: La efectividad tiene que ver con que la información sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable. La eficiencia consiste en que la información sea generada optimizando los recursos (más productivo y económico). La confidencialidad se refiere a la protección de información sensitiva contra revelación no autorizada. La integridad está relacionada con la precisión y completitud de la información, así como con su validez de acuerdo a los valores y expectativas del negocio. La disponibilidad se refiere a que la información esté disponible cuando sea requerida por los procesos del negocio en cualquier momento. También concierne con la protección de los recursos y las capacidades necesarias asociadas. El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas. La confiabilidad significa proporcionar la información apropiada para que la gerencia administre la entidad y ejercite sus responsabilidades fiduciarias y de gobierno. RECURSOS DE TI
Los recursos de TI identificados en COBIT se pueden definir
como sigue: Las aplicaciones incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan información. La información son los datos en todas sus formas de entrada, procesados y generados por los sistemas de información, en cualquier forma en que son utilizados por el negocio. La infraestructura es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones. Las personas son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran. Administración de los recursos de TI para garantizar las metas de TI Procesos orientados
COBIT define las actividades de TI en un
modelo genérico de procesos en cuatro dominios. Estos dominios son: Planear y Organizar Adquirir e Implementar Entregar y Dar Soporte Monitorear y Evaluar Los dominios se equiparan a las áreas tradicionales de TI de planear, construir, ejecutar y monitorear. PLANEAR Y ORGANIZAR (PO)
Este dominio cubre las estrategias y las tácticas, y
tiene que ver con identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio. Este dominio cubre los siguientes cuestionamientos típicos de la gerencia: ¿Están alineadas las estrategias de TI y del negocio? ¿La empresa está alcanzando un uso óptimo de sus recursos? ¿Entienden todas las personas dentro de la organización los objetivos de TI? ¿Se entienden y administran los riesgos de TI? ¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio? ADQUIRIR E IMPLEMENTAR (AI)
Para llevar a cabo la estrategia de TI, las soluciones
de TI necesitan ser identificadas, desarrolladas o adquiridas así como la implementación e integración en los procesos del negocio. Este dominio, cubre los siguientes cuestionamientos de la gerencia: ¿Los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? ¿Los nuevos proyectos son entregados a tiempo y dentro del presupuesto? ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? ¿Los cambios afectarán las operaciones actuales del negocio? ENTREGAR Y DAR SOPORTE (DS)
Este dominio cubre la entrega en sí de los servicios
requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operacionales. Aclara las siguientes preguntas de la gerencia: ¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio? ¿Están optimizados los costos de TI? ¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? ¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad? MONITOREAR Y EVALUAR (ME)
Todos los procesos de TI deben evaluarse de forma
regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno. Abarca las siguientes preguntas de la gerencia: ¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? ¿La Gerencia garantiza que los controles internos son efectivos y eficientes? ¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? ¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño? LOS PROCESOS REQUIEREN CONTROLES
Control se define como las políticas, procedimientos, prácticas y
estructuras organizacionales diseñadas para brindar una seguridad razonable que los objetivos de negocio se alcanzarán, y los eventos no deseados serán prevenidos o detectados y corregidos. Los objetivos de control de COBIT son los requerimientos mínimos para un control efectivo de cada proceso de TI.
Modelo de Control MODELOS DE MADUREZ
Cada vez con más frecuencia, se les pide a los directivos de
empresas corporativas y públicas que se considere qué tan bien se está administrando TI. Como respuesta a esto, se debe desarrollar un plan de negocio para mejorar y alcanzar el nivel apropiado de administración y control sobre la infraestructura de información. ¿Qué están haciendo nuestra competencia en la industria, y cómo estamos posicionados en relación a ellos? ¿Cuáles son las mejores prácticas aceptables en la industria, y cómo estamos posicionados con respecto a estas prácticas? Con base en estas comparaciones: ¿se puede decir que estamos haciendo lo suficiente? ¿Cómo identificamos lo que se requiere hacer para alcanzar un nivel adecuado de administración y control sobre nuestros procesos de TI? MODELOS DE MADUREZ
La gerencia de TI debe buscar constantemente
herramientas de evaluación por benchmarking y herramientas de auto-evaluación como respuesta a la necesidad de saber qué hacer de manera eficiente. Comenzando con los procesos y los objetivos de control de alto nivel de COBIT, el propietario del proceso se debe poder evaluar de forma progresiva, contra los objetivos de control. Esto responde a tres necesidades: Una medición relativa de dónde se encuentra la empresa Una manera de decidir hacia dónde ir de forma eficiente Una herramienta para medir el avance contra la meta La capacidad, el desempeño y el control son dimensiones de la madurez de un proceso. MODELOS DE MADUREZ
El modelado de la madurez para la administración y el control de
los procesos de TI se basa en un método de evaluación de la organización, de tal forma que se pueda evaluar a sí misma desde un nivel de no-existente (0) hasta un nivel de optimizado (5). Los niveles de madurez están diseñados como perfiles de procesos de TI que una empresa reconocería como descripciones de estados posibles actuales y futuros. Si se usan los procesos de madurez desarrollados para cada uno de los 34 procesos TI de COBIT, la administración podrá identificar: El desempeño real de la empresa. Dónde se encuentra la empresa hoy El estatus actual de la industria. La comparación El objetivo de mejora de la empresa. Dónde desea estar la empresa Representación gráfica de los modelos de 51Optimizado. Inicial. Existe 2 Los evidencia procesos Repetible. de seque 4 Administrado. 3 Definido. Se han han los refinado Los problemas hasta Esprocedimientos desarrolladoposible los un nivel monitorear procesos se hany medir estandarizado hasta el el y deexisten mejor práctica, y requierense ser basanresueltos. en los resultados Sin embargo;de mejoras no madurez continuas 0 No existente. Carencia seenfoques usa y enpunto existen procesos encumplimiento un modelo diferentes adcompleta de formahoc documentado, que estándar cuandode áreas de integrada se ensiguen madurez que cualquier queefectiva. tienden para deprocedimientos suprocesos entrenamiento. los lugar los y se con realizan autilizar automatizar ser procedimientos aplicados han difundido existen Sinotras no la elmismaempresas. embargo, estén flujo de bajo ya tomar similares trabajando de se tarea.deja través No trabajo, en medidas TI que de hay de el forma individuo proceso brindando reconocible. entrenamiento La empresa decida no o ha Los procesos comunicación estos están procesos, formal de y constante loses poco probable mejora y que forma individual herramientas o caso para por caso. mejorar proporcionan procedimientosse detecten estándar, El la enfoque buenas calidad desviaciones. general y seprácticas. y adapte dejade la la Los Se procedimientos usa la responsabilidad al en sí no reconocido efectividad, hacia laque siquiera administración haciendo existe unque individuo. es la desorganizado. problema Existeempresa automatización son un aalto yse sofisticados herramientas pero grado de manera formalizan confianzade unalas en manera prácticas el limitada existentes. o rápida.resolver. fragmentada. conocimiento de los individuos y, por lo tanto, los errores son muy probables MODELOS DE MADUREZ
En resumen, los modelos de madurez brindan un
perfil genérico de las etapas a través de las cuales evolucionan las empresas para la administración y el control de los procesos de TI, estos son: Un conjunto de requerimientos y los aspectos que los hacen posibles en los distintos niveles de madurez Una escala donde la diferencia se puede medir de forma sencilla Una escala que se presta a sí misma para una comparación práctica La base para establecer el estado actual y el estado deseado • Soporte para un análisis de brechas para determinar qué se requiere hacer para alcanzar el nivel seleccionado Tomado en conjunto, una vista de cómo se administra la TI en la empresa El Cubo COBIT Los recursos de TI son manejados por procesos de TI para lograr metas de TI que respondan a los requerimientos del negocio. Este es el principio básico del marco de trabajo COBIT