Marco Gobierno TI sector publico
Short Description
Descripción: Estudio sobre la aplicabilidad del concepto de Gobierno TI en el sector público. Propuesta d emodelo integr...
Description
Marco de Gobierno TI para el Sector Público
Andrés Pastor Bermúdez www.CrisolTic.com
Julio 2010
INDICE DE CONTENIDOS
Índice Índice ................................................................................................................. i Índice de figuras ................................................................................................. i Índice de tablas .................................................................................................. i 1
Gobierno TI ................................................................................................. 1
1.1. Introducción. ............................................................................................... 2 1.2. Definición.................................................................................................... 5 1.3. Gobierno TI vs Gestión TI. .......................................................................... 7 1.4. Gobierno corporativo y Gobierno TI ........................................................... 7 1.5. Mecanismos de Gobierno TI ....................................................................... 8 1.5.1. Estructuras formales organizativas ...................................................... 9 1.5.2. Sistema de gestión de procesos .......................................................... 9 1.5.3. Mecanismos de integración ................................................................ 10 1.5.4. Medición del rendimiento ................................................................... 10 1.5.5. Gestión de recursos ........................................................................... 11 2
Marcos de Referencia ............................................................................... 12
2.1. Introducción. ............................................................................................. 13 2.2. ISO 38500. ............................................................................................... 13 2.2.1. Principios ........................................................................................... 14 2.2.2. Modelo ............................................................................................... 15 2.2.3. Relación principios-modelo de gobierno............................................. 16
Indice de contenidos
2.2.4. Beneficios .......................................................................................... 19 2.3. COBIT. ..................................................................................................... 19 2.3.1. Áreas focales del Gobierno de TI. ...................................................... 22 2.3.2. Orientación al negocio ....................................................................... 24 2.3.3. Orientación a procesos ...................................................................... 27 2.3.4. Basado en controles .......................................................................... 30 Controles del negocio y controles de TI ................................................ 32 Controles generales de TI y de aplicación ............................................ 33 2.3.5. Medidas e Indicadores ....................................................................... 34 Modelos de madurez ............................................................................ 34 Medición del desempeño ...................................................................... 40 2.3.6. El modelo del marco de trabajo de COBIT ......................................... 42 2.4. PMBOK. ................................................................................................... 44 2.4.1. ¿ Qué es un proyecto?. ...................................................................... 44 2.4.2. Ciclo de vida y fases del proyecto ...................................................... 46 2.4.3. Áreas de conocimiento ....................................................................... 48 2.4.4. Despliegue de procesos en un proyecto ............................................ 51 2.4.5. Proyectos y Gobierno TI..................................................................... 54 2.5. Buenas prácticas ITIL ............................................................................... 55 2.5.1. Estructura ITIL ................................................................................... 55 2.5.2. Módulos principales ITIL .................................................................... 60 Soporte de Servicios ............................................................................. 60 Prestación de Servicios ........................................................................ 63
ii
Indice de contenidos
2.5.3. Gestión del SLA y seguridad en ITIL .................................................. 65 3
Comparativa de modelos .......................................................................... 67
3.1. Introducción. ............................................................................................. 68 3.2. Cobit e Iso 38500 ..................................................................................... 68 Responsabilidad ................................................................................... 69 Estrategia ............................................................................................. 69 Adquisición ........................................................................................... 70 Desempeño .......................................................................................... 70 Conformidad ......................................................................................... 70 Comportamiento humano...................................................................... 71 Evaluar ................................................................................................. 72 Dirigir .................................................................................................... 72 Monitorizar ............................................................................................ 72 3.3. Cobit y PMBOK ........................................................................................ 74 3.4. Cobit e ITIL ............................................................................................... 78 3.5. Cobit e ISO 17799 .................................................................................... 84 4
Gobierno TI en el Sector Público ............................................................... 86
4.1. Introducción. ............................................................................................. 87 4.2. Definición del Sector Público .................................................................... 87 4.3. Estructura General de un Ministerio. ......................................................... 89 4.4. La Seguridad Social.................................................................................. 90 4.4.1. Estructura .......................................................................................... 91 4.4.2. Sistema de Gestión de la Calidad ...................................................... 93 4.4.3. Cobit y el SGC de la GISS ................................................................. 94 iii
Indice de contenidos
4.5. Diferencias con el Sector Privado. ............................................................ 96 5
Propuesta de modelo de Gobierno para el Sector Público ........................ 99
5.1. Introducción. ........................................................................................... 100 5.2. Características del modelo ..................................................................... 100 5.3. Elementos del Modelo ............................................................................ 101 5.3.1. Concienciación de la alta dirección .................................................. 102 5.3.2. Definición estructuras organizativas ................................................. 102 Comité de estrategia TI ................................................................... 103 Comités de impulso (Steering commitees) ...................................... 103 Definición de responsabilidades ...................................................... 103 Función TI ....................................................................................... 103 5.3.3. Cuadro de mando integral para TI .................................................... 104 5.3.4. Sistema de gestión de procesos (SGP) ............................................ 106 Selección de procesos COBIT......................................................... 107 5.3.5. Gestión del rendimiento ................................................................... 108 5.3.6. Soporte a las mejores prácticas de gestión ...................................... 109 5.3.7. Estructura del modelo ...................................................................... 110 5.3.8. Implantación del modelo .................................................................. 111
iv
Índice de figuras
Índice de figuras Ilustración 1. Evolución de las fuerzas fundamentales que afectan a las organizaciones.
2
Ilustración 2. Modelo de Gobierno Iso38500
16
Ilustración 3 – Áreas Focales del Gobierno de TI
22
Ilustración 4 - Interrelaciones de los componentes de COBIT
23
Ilustración 5 - Principio Básico de COBIT
24
Ilustración 6 - Definiendo metas de TI y arquitectura empresarial para TI
26
Ilustración 7 - Administración de recursos para garantizar las metas de TI
27
Ilustración 8 - Modelo de control
31
Ilustración 9 - Representación gráfica de los modelos de madurez
35
Ilustración 10 - Las tres dimensiones de la madurez
37
Ilustración 11 – Admin., control, alineación y monitorización de COBIT
42
Ilustración 12 - El cubo de COBIT
42
Ilustración 13 - Marco general de trabajo de COBIT
43
Ilustración 14. Factores que afectan a los proyectos
46
Ilustración 15. Ciclo de vida de un proyecto
47
Ilustración 16. Grupos de procesos de un proyecto
48
Ilustración 17.Dimensiones temporal y funcional de un proyecto
51
Ilustración 18.Despliegue de procesos en un proyecto
53
Ilustración 19: De negocio a tecnología
55
Ilustración 20: independencia entre departamentos
56
Índice de figuras
Ilustración 21: Fuentes de datos. Organización clásica vs. ITIL
57
Ilustración 22: Etapas de transformación ITIL
57
Ilustración 23: Perspectiva global de ITIL
59
Ilustración 24: Áreas cubiertas de ITIL en una organización tradicional
60
Ilustración 25: Área de responsabilidad de Soporte a Servicio
61
Ilustración 26: Procesos dentro del Soporte a Servicios
61
Ilustración 27: Área de responsabilidad de Prestación de Servicio
64
Ilustración 28: Procesos dentro de la Prestación de Servicios
64
Ilustración 29. Comparativa de procesos Cobit y procesos PMBOK
77
Ilustración 30. Correspondencia entre ITIL y COBIT
83
Ilustración 31. Cobit vs. Iso 17799
85
Ilustración 32. Sector Público vs. Sector privado
88
Ilustración 33. Estructura General de un Ministerio
90
Ilustración 34. Estructura de la Seguridad Social
91
Ilustración 35. Estructura detallada del MTIN
92
Ilustración 36. Estructura de la GISS
93
Ilustración 37. Cobit Vs. SGC de la GISS
95
Ilustración 38. Cuadro de mando Integral
105
Ilustración 39. Cuadro de mando integral TI
106
Ilustración 40. Procesos esenciales de COBIT
108
Ilustración 41. Estructura del modelo de Gobierno TI
110
ii
Índice de Tablas
Índice de tablas Tabla 1. Ranking de estrategias del CIO del sector público ............................... 4 Tabla 2. Ranking de expectativas de la alta dirección del sector público ........... 5 Tabla 3. Gobierno corporativo y Gobierno TI ..................................................... 8 Tabla 4. Guía sobre como evaluar, dirigir y monitorizar la función TI ............... 18 Tabla 5. Responsabilidades del Negocio y de TI ............................................. 33 Tabla 6. Modelos de madurez ......................................................................... 39 Tabla 7. Relaciones COBIT-ISO 38500 ........................................................... 74 Tabla 8. Mapa de Procesos y Subprocesos de la GISS .................................. 94 Tabla 9. Diferencias Sector Público y Privado ................................................. 97
1
Gobierno TI
GOBIERNO TI
1.1. Introducción. En el pasado, las tecnologías de la información (TIC) eran exclusivamente una herramienta empleada para mecanizar los procesos que se venían realizando hasta el momento de forma manual, por lo que la alta dirección de la organización podía delegar, ignorar o evitar las decisiones relativas a las TIC. Hoy en día, el panorama es completamente distinto; En gran parte de las organizaciones actuales, la información y las tecnologías que la soportan se han convertido en piezas fundamentales para
la sustentabilidad de la actividad de la
organización y garantía del crecimiento del negocio. Las TIC no son solo un factor de supervivencia y prosperidad, sino una oportunidad para diferenciarse y obtener una ventaja competitiva. Según el informe Cómo sacarle provecho a la complejidad, realizado por IBM tras entrevistarse con más de 1.500 CEOs de todo el mundo, la tecnología continúa creciendo como uno de los factores que más importa a los directivos de las organizaciones de todo el mundo.
Ilustración 1. Evolución de las fuerzas fundamentales que afectan a las organizaciones.
Es cierto que las TIC están al alcance de todas las organizaciones, por lo que pudiera no considerarse un factor diferenciador, pero lo cierto es que el valor proviene de que sepamos obtener el máximo provecho de estas tecnologías: solo aquellas 2
GOBIERNO TI
organizaciones que realicen una gestión TI eficaz y gobiernen eficientemente sus tecnologías de la información estarán en una posición de ventaja respecto a sus competidores. Por otra parte, esta dependencia significativa de las TIC implica que existe una vulnerabilidad inherente en organizaciones con sistemas de información grandes y/o complejos. Por ejemplo, una indisponibilidad de los sistemas o de la red pueden convertirse en un riesgo inasumible para una entidad financiera, no solo por las pérdidas de ingresos durante el tiempo de la caída, sino también por el impacto en la imagen corporativa y su repercusión en el mercado de valores. Este riesgo inherente se ve agravado por amenazas informáticas externas, errores, abusos, virus, cibercrimen, fraude electrónico, etc. Por otra parte, las inversiones en tecnologías de la información suponen una parte importante de los ingresos de las organizaciones. Según un informe de la consultora Forrester Reseach (1), las empresas invierten entre un 1,5% y un 12,5% de sus ingresos en actividades y recursos relacionados con las tecnologías de la información. Los consejos de administración reclaman obtener un valor claro de estas inversiones. Adicionalmente, las organizaciones están sujetas a un mayor control financiero, con lo que están obligadas a cumplir diferentes normativas en función del sector y del país en el que desarrollen su actividad (Sarbanes-Oxley, HIPAA, Basel II, etc). Este ambiente turbulento no le es ajeno a las administraciones públicas. Según las investigaciones de la consultora Gartner (2), la administración pública va a seguir enfrentándose en 2010 y en años sucesivos a una situación de recorte en los
3
GOBIERNO TI
presupuestos y de los recursos, a la vez que se van a incrementar las exigencias sobre los servicios prestados. En este contexto, las prioridades del CIO1 del sector público se centran en las actividades principales de negocio y en consolidar operaciones. Pero llama la atención que, en el ranking de estrategias del CIO, aparece por segundo año consecutivo la mejora del Gobierno TI en la organización. Esto demuestra la sensibilidad de los directivos TI del sector público con aspectos que podríamos identificar con una mejor gestión de la función TI.
Tabla 1. Ranking de estrategias del CIO del sector público
Es cierto que, en la previsión que los CIOs realizan para el año 2013, la mejora del Gobierno TI pasaría a un discreto noveno puesto, pero esto puede explicarse como que los CIOs entienden que para dicho año sus organizaciones habrán puesto en
1
CIO, Chief Information Officer, Directivo responsable de las TIC en una organización.
4
GOBIERNO TI
marcha proyectos de mejora del Gobierno TI, pudiéndose centrar en otros aspectos de la gestión aún no resueltos. Sin embargo, si nos fijamos en las expectativas de la parte del negocio del sector público, esto es, en los responsables de la gestión de los servicios públicos, no aparece una mención explícita al Gobierno TI. Sin embargo, sí puede desprenderse de esta lista que las TIC siguen jugando un papel clave en las operaciones principales y en la productividad del sector público.
Tabla 2. Ranking de expectativas de la alta dirección del sector público
En cualquier caso y como veremos a lo largo de este estudio, los principales obstáculos de la gobernabilidad TI de las organizaciones son, precisamente, la falta de sensibilización o de conocimiento de la alta dirección con sus responsabilidades en el gobierno TI y la confusión por parte de los CIOs y responsables de la función TI entre Gestión de la TI y Gobierno TI.
1.2. Definición. Las tecnologías de la información y su uso en las organizaciones han experimentado una transformación radical durante las últimas décadas. Varios académicos e instituciones han formulado teorías y mejores prácticas en este ámbito del conocimiento, lo que ha dado lugar a una variedad de definiciones del término Gobierno TI. La
Capacidad
de
la
organización
para
controlar
la
formulación
e
implementación de la estrategia en TI y guiarla en la dirección adecuada con el fin de
5
GOBIERNO TI
obtener ventaja competitiva para la corporación. (Ministerio de Comercio e Industria Inglés, 1999.) El Gobierno TI es responsabilidad tanto de la dirección como de la administración ejecutiva y consiste en el liderazgo, la estructura de la organización y los procesos para asegurar que la TI mantenga y amplíe los objetivos y estrategias de la empresa. (IT Governance Institute, 2001). Gobierno TI es la capacidad de la organización ejercida por su consejo de dirección, la dirección ejecutiva y la dirección de TI para controlar la formulación e implementación de su estrategia en TI y, de esta manera, asegurar la fusión de TI y negocio (Van Grembergen, 2002). El proceso que asegura el uso eficiente y efectivo de las TIC en una organización de forma que esta alcance sus objetivos (Gartner). El sistema mediante el cual se dirige y controla el uso actual y futuro de las tecnologías de la información (ISO/IEC 38500). Especificación de las capacidades decisorias y el marco de rendición de cuentas para estimular las conductas más adecuadas en el uso de las tecnologías de la información (Peter Weill,, Jeanne Ross. 2004) Aunque todas las definiciones anteriores presentan diferencias en algunos aspectos, todas ellas comparten explícita o implícitamente algunas ideas que son la base del Gobierno TI: El Gobierno de las TI es parte integral del sistema de Gobierno de la organización. Por esta razón, el Gobierno de las TI es responsabilidad de la alta dirección de la organización (Consejo de dirección, dirección ejecutiva). Debe focalizarse e los nexos de unión entre las actividades del negocio y el uso de las TI (alineamiento TI-Negocio). Se implementa apoyado en un sistema de procesos, estructuras y responsabilidades,
aunque
no
se
centra
en
CóMO
deben
implementarse dichos procesos sino en QUÉ es lo que deben garantizar. 6
GOBIERNO TI
Los objetivos del Gobierno TI deben expresarse en términos del negocio, no de las tecnologías de la información. Deben establecerse indicadores de rendimiento (eficacia y eficiencia) que representen el valor para el negocio. En general, consideraremos la definición del ITGI (IT Governance Institute) como la más completa y aceptada actualmente.
1.3. Gobierno TI vs Gestión TI. Según la ISO/IEC 38500 la Gestión TI es El sistema de controles y procesos requeridos para lograr los objetivos estratégicos establecidos por la dirección de la organización. Está sujeta a la guía y monitorización establecida mediante el gobierno corporativo. De esta definición se desprende que la gestión TI se centra en la provisión interna de productos y servicios TI, así como a la gestión de la operación de los sistemas de información. El objeto del Gobierno TI es más amplio y se centra en asegurar un adecuado rendimiento y la transformación necesaria de las TIC para satisfacer las demandas internas del negocio y las demandas externas de los clientes de la organización. Esto no quita importancia a la Gestión TI ni lo convierte en algo sencillo. Sin embargo, sí establece una diferencia fundamental: mientras que la gestión TI puede ser susceptible de externalizarse, el Gobierno TI es una responsabilidad específica e interna a la organización, por lo que no puede delegarse.
1.4. Gobierno corporativo y Gobierno TI El Gobierno corporativo es el sistema por el que las entidades, públicas o privadas, son dirigidas y controladas. La dependencia de las actividades del negocio de las TIC es tan directa que los aspectos de Gobierno corporativo no pueden desligarse de los del Gobierno TI. Por ello, el Gobierno TI debe ser una parte integral del Gobierno corporativo y es, por lo tanto, responsabilidad del consejo de dirección de la organización. En este
7
GOBIERNO TI
sentido, es conveniente que el CIO forme parte de los órganos directivos de la organización al más alto nivel. En el fondo, se trata de que la dirección de la organización tenga los mecanismos necesarios para responder a las siguientes preguntas:
Preguntas sobre el Gobierno
Preguntas sobre el
corporativo
Gobierno TI
¿Cómo conseguir
pueden que
la
los
accionistas
dirección
de
la
¿Cómo puede la alta dirección conseguir
que
su
organización obtenga beneficios de su
organización
aportación de capital?
valor al negocio?
¿Cómo
pueden
los
accionistas
TI
CIO
y
la
proporcionen
¿Cómo puede la alta dirección
asegurarse de que la dirección no se
conseguir
que
su
CIO
y
la
apropie de su capital o lo invierta en
organización TI no se apropien
malos proyectos?
del capital o lo inviertan en malos negocios?
¿Cómo controlan los accionistas a la
¿Cómo controla la alta dirección a
dirección?
sus CIOs y a la organización TI? Tabla 3. Gobierno corporativo y Gobierno TI
1.5. Mecanismos de Gobierno TI Una vez aclarado el concepto de Gobierno TI y vista su relación con la Gestión TI y con el Gobierno corporativo, vamos a identificar los mecanismos de Gobierno TI más comunes. Esta labor, determinar los mecanismos más adecuados de Gobierno TI, no es una tarea sencilla. Los mecanismos que funcionan para unas organizaciones, no son siempre efectivos para otras semejantes, lo que convierte a esta disciplina en un arte más que en una ciencia. 8
GOBIERNO TI
Sin embargo, sí se pueden determinar prácticas, procesos, estructuras y mecanismos relacionales que pueden ayudar a establecer elementos globales de Gobierno TI. A continuación, describiremos algunos de los más comunes.
1.5.1. Estructuras formales organizativas El Gobierno TI debe estar apoyado en unas estructuras organizativas que faciliten y soporten los objetivos perseguidos. Por un lado, deben existir responsables nominales de las diferentes tareas TI a todos los niveles de la organización y estos deben estar separados del resto de funciones del negocio. Esto aplica tanto al máximo responsable de la función TI (CIO) como a los responsables de las tareas funcionales o encargados de los procesos TI. Por otro lado, deben articularse estructuras organizativas, fijas o temporales, que permitan la relación entre la función TI y el negocio de forma que ambos puedan alcanzar el objetivo conjunto de aportar valor a la organización. Normalmente, estas estructuras se concretan en comités ejecutivos o consultivos, equipos de trabajo, equipos de proyectos, etc.
1.5.2. Sistema de gestión de procesos Las mejores prácticas conocidas recomiendan que las actividades de cualquier organización se estructuren en una serie de procesos estables, medibles que se establecen inicialmente y se revisan de manera periódica permitiendo la mejora continua. Adicionalmente, las organizaciones parten de unas mejores prácticas específicas para organizar sus procesos. En particular, en el ámbito de las TIC, COBIT se conforma como un marco de referencia que permite, entre otras cosas, identificar los procesos más aceptados así como establecer criterios de control, indicadores de rendimiento y modelos de madurez, como se explicará con detalle en el siguiente capítulo.
9
GOBIERNO TI
1.5.3. Mecanismos de integración Los mecanismos de integración facilitan la puesta en marcha de relaciones de colaboración y la participación activa de ejecutivos de la organización, responsables de TI y otros interesados (shareholders). Normalmente,
estos
mecanismos
se
han
establecido
en
las
organizaciones de manera informal. Actualmente, las organizaciones más avanzadas han formalizado estas relaciones basadas en dos ideas: Aprendizaje compartido: Se define como la co-creación de un entendimiento mutuo de los objetivos entre miembros de la unidad de negocio y la de TI. La idea es que cuando los directivos de la organización entienden la perspectiva del otro en la toma de decisiones, pueden anticipar sus acciones y coordinarse de manera adaptativa. Diálogo
estratégico:
Implica
explorar
y debatir
ideas
en
profundidad antes de la toma de decisiones. Esto implica una comunicación rica, no estructurada de los diferentes puntos de vista de TI y del negocio. La intención es resolver las divergencias de manera cooperativa. Cuando no se consigue, es necesario utilizar mecanismos activos y pasivos de resolución de conflictos. Los mecanismos activos de resolución de conflicto requieren la confrontación y competición, mientras que los pasivos intentan precisamente suavizar el conflicto con estrategias de evitación.
Estas técnicas son muy novedosas y, para que sean efectivas, requieren un grado de madurez previo en las organizaciones.
1.5.4. Medición del rendimiento Las medidas de rendimiento permiten conocer a la dirección de la organización que los procesos TI están consiguiendo los requerimientos de negocio. Esto se consigue por medio de una monitorización de los factores habilitadores de dichos procesos. La medición del rendimiento es tradicionalmente una actividad asociada a la gestión de las TIC. Sin embargo, para que se pueda llegar a tener un 10
GOBIERNO TI
Gobierno TI efectivo, es condición necesaria la medición de la actividad TI. La diferencia principal entre ambas perspectivas es el nivel de agregación de los datos y el objetivo principal perseguido: mientras la gestión TI se centra en los aspectos operacionales de la organización TI, el Gobierno TI se centra en aquellos indicadores que afectan a la actividad del negocio. Por lo tanto, es necesario medir para establecer un Gobierno TI. Como indica Guldentops (3) realizar actividades de TI sin un mecanismo de medición no es dirigir ni gobernar las TI, sino solo ―prácticar‖.
1.5.5. Gestión de recursos La gestión de recursos consiste en establecer e implementar las capacidades necesarias en la organización para satisfacer las necesidades de negocio. Este objetivo conlleva disponer de una infraestructura TI económica e integrada dónde las nuevas tecnologías se introduzcan de manera juiciosa y los sistemas obsoletos se reemplacen y/o actualicen adecuadamente y, para ello, es necesario reconocer la importancia de las personas en la organización, además del hardware y software. Por este motivo, es necesario procurar formación al personal de forma que mantengan al día sus competencias técnicas, así como establecer unas adecuadas políticas de retención y motivación.
11
2
Marcos de Referencia
MARCOS DE REFERENCIA
2.1. Introducción. Existe una creciente preocupación en la alta dirección de las empresas acerca de las actividades de la función TI. Como ya se ha comentado anteriormente, el papel que juegan las TICs en las organizaciones es cada vez más vital, no solo para mantener la competitividad, sino para garantizar las operaciones diarias. Los consejos de administración de las empresas son conscientes de que una parada en sus sistemas significa una pérdida inmediata de los ingresos de la compañía, por no hablar de las consecuencias de la pérdida de imagen. Asimismo, la dirección se ve en la necesidad de justificar el valor de las importantes inversiones en las TICs, asegurar el cumplimiento normativo a la vez que se minimizan los riesgos en un entorno sujeto a amenazas internas y externas. Todos estos factores han propiciado la aparición de modelos, metodologías y prácticas (ITIL, PMBOK, COBIT, etc), dirigidas a garantizar un mejor gobierno o un rendimiento más óptimo de las TIC en las organizaciones. Algunas de estas prácticas han sido desarrolladas por la propia dirección de las áreas TI mientras que otras externas tienen como propósito el control externo de las propias unidades TIC. El propósito de este capítulo es describir las prácticas y metodologías más comunes en el ámbito del gobierno TI
2.2. ISO 38500. La ISO/IEC 38500:2008 (4) es la primera norma internacional que trata sobre el concepto de Gobierno TI en las organizaciones. Esta norma, denominada ―Corporate governance of information technology‖ fija los estándares para el buen gobierno de los procesos y decisiones empresariales relacionadas con los sistemas y tecnologías de la información. Fue publicada en junio de 2008 en base a la norma australiana AS8015:2005 y es la primera de una serie sobre normas de gobierno de TIC. Está alineada con los principios de gobierno corporativo recogidos en el ―Informe Cadbury‖ y en los ―Principios de Gobierno Corporativo de la OCDE.‖
13
MARCOS DE REFERENCIA
Los objetivos principales de la norma se pueden concretar en: • Asegurar que, si la norma es seguida de manera adecuada, las partes implicadas (directivos, consultores, ingenieros, proveedores de hardware, auditores, etc.), puedan confiar en el gobierno corporativo de TIC. • Informar y orientar a los directores que controlan el uso de las TIC en su organización. • Proporcionar una base para la evaluación objetiva por parte de la alta dirección en el gobierno de las TIC. Es conveniente hacer notar que la norma está dirigida principalmente a la alta dirección de las organizaciones para hacerles entender y ayudarles a cumplir sus obligaciones legales, regulatorias y éticas respecto al uso de las TIC en sus organizaciones. No es, por lo tanto, un estándar de Gestión de las TI , sino de Gobierno TI en el sentido más estricto.
2.2.1. Principios La norma define seis principios de un buen gobierno corporativo de TIC: Responsabilidad—Todos los grupos e individuos de la organización deben comprender y aceptar sus responsabilidades tanto en el uso (demanda) como en la provisión de los servicios de TI. La responsabilidad sobre una acción lleva aparejada la autoridad para su realización. Estrategia—La estrategia de negocio de la organización tiene en cuenta las capacidades actuales y futuras de las TIC. Los planes estratégicos de TIC satisfacen las necesidades actuales y previstas derivadas de la estrategia de negocio. Adquisición—Las adquisiciones de TI se hacen por razones válidas, en base a un análisis apropiado y continuo, con decisiones claras y 14
MARCOS DE REFERENCIA
transparentes.
Hay
un
equilibrio
adecuado
entre
beneficios,
oportunidades, costes y riesgos tanto a corto como a largo plazo. Rendimiento—La TI está dimensionada para dar soporte a la organización, proporcionando los servicios con la calidad adecuada para cumplir con las necesidades actuales y futuras. Conformidad—La función de TI cumple todas las legislaciones y normas aplicables. Las políticas y prácticas al respecto están claramente definidas, implementadas y exigidas. Factor
humano—Las
políticas
de
TIC,
prácticas
y
decisiones
demuestran respeto al factor humano, incluyendo las necesidades actuales y emergentes de toda la gente involucrada.
2.2.2. Modelo Una vez establecidos los principios básicos que deben regir el Gobierno TI de las organizaciones, la norma ISO 38500 define el modelo básico para que la alta dirección haga efectivo dicho gobierno Esto debe conseguirse mediante la ejecución de tres tareas fundamentales: Evaluar—Examinar y juzgar el uso actual y futuro de las TIC, incluyendo estrategias, propuestas y acuerdos de aprovisionamiento (internos y externos). Dirigir—Dirigir la preparación y ejecución de los planes y políticas, asignando las responsabilidades al efecto. Asegurar la correcta transición de los proyectos a la producción, considerando los impactos en la operación, el negocio y la infraestructura. Impulsar una cultura de buen gobierno de TIC en la organización. Monitorizar—Mediante sistemas de medición, vigilar el rendimiento de la TIC, asegurando que se ajusta a lo planificado.
15
MARCOS DE REFERENCIA
Ilustración 2. Modelo de Gobierno Iso38500
2.2.3. Relación principios-modelo de gobierno Una vez definidos los principios y el modelo de gobierno, la norma establece una guía general de las prácticas requeridas para implementar los principios. Para ello, establece una relación entre los principios y las 3 tareas fundamentales de la alta dirección (evaluar, dirigir y monitorizar). En cualquier caso, es responsabilidad de cada organización identificar las acciones específicas que se requieran para implementar los principios, en función de la naturaleza de la organización y de un análisis apropiado de los riesgos y oportunidades en el uso de la TI.
16
MARCOS DE REFERENCIA
Para cada uno de los principios, la norma proporciona una breve guía u orientación sobre como evaluar, dirigir y monitorizar la función de TIC. Son orientaciones muy generales que no incluyen mecanismos, técnicas o herramientas concretas a utilizar:
Principios
Evaluar Asignación de responsabilidades uso actual y futuro de la TI
Responsabilidad
Competencia de personal con responsabilidades en TI
Dirigir Planes se realicen de acuerdo a las responsabilidades acordadas Asegurarse de que recibe información necesaria para cumplir su responsabilidad y rendir cuentas
Monitorizar Se establecen mecanismos adecuados de gobierno de TI
La dirección reconoce y entiende sus responsabilidades en TI Medida del desempeño responsables gobierno TIC
Desarrollo de TI y procesos negocio de forma que soporten las necesidades de negocio
Estrategia
Evaluar actividades de TIC y alineamiento con objetivos de la organización Mejores prácticas
Creación y uso de planes y políticas de forma que se aseguren beneficios para la organización de las actividades de TI Alentar propuestas innovadoras para responder a oportunidades y necesidades
Progreso propuestas aprobadas de forma que se alcanen objetivos en plazos establecidos
Utilizar recursos asignados Uso de TIC, alcanzando beneficios esperados
Satisfacción interesados Valoración y evaluación de riesgos TI de acuerdo a estandares Diferentes alternativas en las inversiones balanceando riesgo y valor del dinero para la organización
Adquisición
Activos TI adquieren manera apropiada, con documentación adecuada y asegurando que se proporciona la capacidd requerida
Inversiones proporcionan realmente las capacidades requeridas
Acuerdos de provisión respalden necesidades del Negocio
Entendimiento por parte d ela organización y de los proveedores de cuales las intenciones y necesidades de la organización en las adquisiciones
17
MARCOS DE REFERENCIA
Principios
Rendimiento
Cumplimiento
Evaluar
Dirigir
Monitorizar
Medios propuestos para asegurar que la TI sustenta procesos de negocio en funcionalidad y capacidad
Asignación recursos suficientes
Grado TIC sustenta negocio
Riesgos: continuidad de operaciones
Asignar prioridades y restricciones
Grado en el que los recursos e inversiones son priorizados de acuerdo a las necesidades de negocio.
Datos correctos, actualizados, protegidos
Políticas precisión datos
Riesgos : integridad de información, protección de activos, Propiedad intelectual Decisiones uso TIC apoyo al negocio Eficacia y desempeño gobierno de TIC
Grados de seguimineto políticas uso eficiente TIC
TIC cumple obligaciones, normas y directrices
Dirigir al personal responsable de establecer mecanismos que asegure que se cumplen obligaciones, normas y directrices TI
Cumplimiento y conformidad (auditorias/informes)
Conformidad gobierno de TIC
Establecer y aplicar políticas (uso TI interno)
Reportes y prácticas de auditoría oportunos, completos, adecuados a las necesidades de negocio)
Personal TIC cumple directrices desarrollo y conducta
Actividades de TIC para asegurar que se cumplan obligaciones mediambientales, reciclado, legales, privacidad, etc
Ética rija acciones relacionadas TIC Actividades de TIC para identificar comportamiento humano
Factor humano
Actividades TI compatibles factor humano Informar cualquier individuo (riesgos, problemas) Administración riesgos según políticas y proced. Escalado a los decisores
Actividades de TIC, identificar, prestar atención al comportamiento personas Prácticas de trabajo consistente uso apropiado de TIC
Tabla 4. Guía sobre como evaluar, dirigir y monitorizar la función TI
18
MARCOS DE REFERENCIA
2.2.4. Beneficios ISO/IEC 38500 es beneficioso por las siguientes razones: Destaca la importancia del gobierno de TI debido a los riesgos involucrados y a las significativas inversiones requeridas. Incentiva a las empresas a utilizar estándares apropiados para apuntalar su gobierno de TI. Provee un marco de 6 principios básicos para que los directores lo utilicen cuando evalúen, dirijan y supervisen el uso de las TI en sus empresas. Seguir estos principios ayudará a los directores a balancear riesgos y propiciar oportunidades derivadas del uso de las TI. Es aplicable a todas las empresas, desde las más pequeñas hasta las más grandes, independientemente del propósito, diseño y estructura de la propiedad. Aclara que un buen gobierno corporativo de TI puede ayudar a los directivos a asegurar la conformidad con las obligaciones (regulatorias, legales, contractuales y de derecho común) sobre el uso aceptable de TI, y asegurar que este uso contribuya positivamente al desempeño de la empresa. Asimismo, deja claro que los sistemas inadecuados de TI pueden exponer a los directivos al riesgo de incumplimiento con una gama cada vez más amplia de legislación.
2.3. COBIT. Los Objetivos de Control para la Información y la Tecnología relacionada (conocidos generalmente por su acrónimo COBIT®) brindan un conjunto de buenas prácticas a través de un marco de trabajo basado en procesos, y presenta las actividades de una estructura manejable y lógica. Las buenas prácticas de COBIT están enfocadas fuertemente en el control y menos en la ejecución, es decir, indican más qué se debe conseguir sin focalizarse en el cómo.
19
MARCOS DE REFERENCIA
Una de las características de COBIT es que está orientado al negocio, vinculando las metas de negocio con las metas de TI, proporcionando métricas y modelos de madurez para medir sus logros, e identificando las responsabilidades asociadas de los propietarios de los procesos de negocio y de TI. Otra característica es su enfoque hacia procesos, mediante un modelo que subdivide TI en 34 procesos de acuerdo a cuatro áreas de responsabilidad (Planear, Construir, Ejecutar y Monitorizar) que básicamente coinciden con el conocido ciclo de Deming (Plan-Do-Check-Act). Pero, de todas las buenas características que presenta COBIT, la que más ha influido en el éxito de COBIT es su dualidad de orientación hacia el Negocio y hacía las TIC, estableciendo un puente de enlace entre ambos mundos y definiendo un lenguaje común que ha permitido a los gestores entender el valor estratégico de las TIC y a los responsables de los sistemas de la información, la importancia de conducir sus acciones hacia el aporte del valor al negocio. De manera más general, el empleo de un marco como COBIT satisface las necesidades de la Dirección y aporta una serie de beneficios que facilitan que se logren tanto los objetivos de la TI como los del negocio. Esto lo logra: Asegurando una mejor alineación, basándose en su enfoque en el negocio. Facilitando la implantación de políticas, procedimientos, prácticas y estructuras organizativas, para garantizar los objetivos perseguidos y prevenir eventos no deseados. Facilitando una medición objetiva sobre el estado actual de las TIC en una organización y facilitando el asesoramiento para determinar dónde se requieren mejoras. Así la dirección posee información que le permitirá tomar decisiones frente a riesgos, de forma rápida y asegurando el éxito. Proporcionando a la Dirección una visión más clara sobre lo que hace la unidad de TI.
20
MARCOS DE REFERENCIA
Definiendo la propiedad y la responsabilidad de los diferentes procesos TI de la organización. Facilitando una evaluación de la capacidad de dichos procesos, basada en sus modelos de madurez. Optimizando las inversiones realizadas en las TI. Facilitando el entendimiento de todos los participantes, al basarse en un lenguaje común. En definitiva, COBIT se ha convertido en el integrador de las mejores prácticas de TI y el marco de referencia general para el gobierno de TI que ayuda a comprender y administrar los riesgos y beneficios asociados con la TI.
21
MARCOS DE REFERENCIA
2.3.1. Áreas focales del Gobierno de TI. COBIT, basándose en componentes, da soporte al Gobierno de TI al brindar un marco de trabajo que garantiza las siguientes áreas focales: Alineación Estratégica entre TI y el negocio Entrega de Valor: TI da soporte el negocio maximizando los beneficios y minimizando los costes Administración de Recursos: Uso de los recursos de TI de manera responsable, optimizando el conocimiento y la infraestructura. Administración de Riesgos de TI: La dirección debe tomar conciencia de los mismos, definir el riesgo que está dispuesta a asumir, definir la responsabilidad de su administración y comprender los requisitos de cumplimiento. Medición del desempeño: Monitoriza el uso de los recursos, el desempeño de los procesos y la entrega del servicio.
Ilustración 3 – Áreas Focales del Gobierno de TI
22
MARCOS DE REFERENCIA
Los componentes de COBIT se interrelacionan entre sí, ofreciendo soporte para las necesidades de gobierno, de administración, de control y de auditoría, tal como se muestra en la siguiente figura:
Ilustración 4 - Interrelaciones de los componentes de COBIT
23
MARCOS DE REFERENCIA
2.3.2. Orientación al negocio La orientación al negocio es, como hemos indicado, la característica principal de COBIT. Está diseñado principalmente como guía integral para la Dirección y para los propietarios de los procesos de negocio. El marco de trabajo COBIT se basa en el siguiente principio: Con el fin de proporcionar la información requerida para lograr sus objetivos, la empresa necesita invertir y administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que ofrezcan los servicios que suministran dicha información.
Ilustración 5 - Principio Básico de COBIT
La administración y el control de la información están en el centro del marco de COBIT y garantiza la alineación con las necesidades del negocio. Este marco de trabajo se rige por una serie de criterios de control, un conjunto de metas definidas para el negocio y la TI, y para ello se debe apoyar en una serie de recursos y administrarlos correctamente.
24
MARCOS DE REFERENCIA
COBIT define siete criterios que deben aplicar a la información de la organización, a saber: Eficacia: La información debe proporcionarse de una manera oportuna, correcta, consistente y utilizable. Eficiencia: Debe ser generada con un uso óptimo de recursos. Confidencialidad: Es necesario que se proteja la información sensitiva contra revelación no autorizada. Integridad: La información debe ser precisa y completa. Disponibilidad: Debe estar disponible cuando el negocio la necesite. Cumplimiento normativo: La organización, en el uso de la información, debe acatar aquellas leyes, reglamentos y acuerdos contractuales. Confiabilidad: He de proporcionarse la información apropiada para que la Dirección administre y ejercite sus responsabilidades de gobierno. Junto con estos criterios, COBIT define de un conjunto de metas genéricas de negocio y de TI, ofreciendo así una base para el desarrollo de métricas que permitan la comparación con respecto a estas metas.
La siguiente ilustración muestra cómo la estrategia de la empresa debe traducirse en objetivos para el uso de funcionalidades facilitadas por TI (Las metas de negocio para TI). Estos objetivos a su vez, deben conducir a una clara definición de los propios objetivos de la TI (las metas de TI), y luego éstas a su vez definir los recursos y capacidades de TI (la arquitectura empresarial para TI) necesarios para ejecutar con éxito la parte que le corresponde a TI de la estrategia empresarial.
25
MARCOS DE REFERENCIA
Ilustración 6 - Definiendo metas de TI y arquitectura empresarial para TI
Estas metas deben monitorizarse para asegurarse que lo que se está entregando en la actualidad se corresponde con las expectativas. Para que el cliente comprenda las metas u objetivos de la TI y los datos de monitorización de la TI, se deben expresar en términos de negocio significativos para el cliente. Para responder a los requisitos que el negocio tiene hacia TI, la empresa debe invertir en los recursos necesarios para crear una capacidad técnica adecuada para dar soporte al negocio. Los recursos de TI identificados en COBIT son: Aplicaciones: tanto sistemas de usuario automatizados como procedimientos manuales que procesan información. Información: datos de entrada, procesados y generados por los sistemas de información, y que son utilizados por el negocio. 26
MARCOS DE REFERENCIA
Infraestructura: Es la tecnología y las instalaciones que permiten el procesamiento de las aplicaciones. Personas: Referido al personal necesario para planear, organizar, adquirir, implementar, entregar, soportar, monitorizar y evaluar los sistemas y los servicios de información. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran.
Ilustración 7 - Administración de recursos para garantizar las metas de TI
La figura anterior resume cómo las metas de negocio para TI influyen en la manera en que se manejan los recursos necesarios de TI por parte de los procesos de TI para lograr las metas de TI.
2.3.3. Orientación a procesos El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje común para que cada uno en la empresa visualice y administre las actividades de TI.
27
MARCOS DE REFERENCIA
Un modelo de procesos fomenta la propiedad de los procesos, permitiendo que se definan las responsabilidades, facilitando además la medición y monitorización del desempeño de TI. COBIT define las actividades de TI en un modelo genérico de procesos en cuatro dominios: Planear y Organizar (PO). Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI pueda contribuir al logro de los objetivos del negocio. Es necesario implementar una estructura organizativa y una estructura tecnológica apropiada. Adquirir e Implementar (AI). Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como la implementación e integración en los procesos del negocio. Además contempla el cambio y el mantenimiento de los sistemas existentes para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio. Entregar y Dar Soporte (DS). Este dominio cubre la entrega en sí de los servicios necesarios, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones. Monitorizar y Evaluar (ME). Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requisitos de control. Este dominio abarca la administración del desempeño, la monitorización del control interno, el cumplimiento regulatorio y la aplicación del gobierno.
COBIT proporciona una lista completa de 34 procesos que se pueden utilizar para verificar la integridad de las actividades y de las responsabilidades; no obstante, no necesitan aplicarlos todos, incluso pueden combinarse según las necesidades de cada empresa.
28
MARCOS DE REFERENCIA
Para cada uno de estos procesos, existe un enlace entre el negocio y cada una de las metas u objetivos de la TI que son soportadas. Se proporciona también información de cómo se pueden medir esos objetivos, cuales son los principales entregables y quién es el responsable.
29
MARCOS DE REFERENCIA
2.3.4. Basado en controles COBIT define el concepto de Control como el conjunto de políticas, procedimientos, prácticas y estructuras organizativas diseñadas para brindar una seguridad razonable y que los eventos no deseados se eviten en lo posible o sean detectados y corregidos cuanto antes, de forma que se aumenta el valor y se disminuye el riesgo. COBIT define una serie de objetivos de control para la totalidad de los 34 procesos. Estos Objetivos de Control de TI proporcionan un conjunto completo de requisitos de alto nivel a considerar por parte de la Dirección para el control eficaz de cada uno de los procesos de TI. La Dirección de la empresa debe realizar una selección de estos Objetivos de Control de la siguiente manera: Seleccionando sólo aquellos que son aplicables. Decidir sobre aquellos que van a ser implementados. Decidiendo de qué manera van a ser implementados (frecuencia, intervalo, automatización, etc.). Aceptando el riesgo de aquellos que no se implementan. Para tener una visión del modelo de control estándar de COBIT y de los principios que sigue, podemos hacerlo mediante la siguiente figura, utilizando como ejemplo la siguiente analogía: cuando se ajusta la temperatura ambiente (estándar) para el sistema de calefacción (proceso), el sistema verificará de forma constante (comparar) la temperatura ambiente (información de control) e indicará (actuar) al sistema de calefacción para que genere más o menos calor.
30
MARCOS DE REFERENCIA
Ilustración 8 - Modelo de control
Debido a que los objetivos de control de TI de COBIT están organizados por procesos de TI, el marco de trabajo brinda vínculos claros entre los requisitos de gobierno de TI, los procesos de TI y los controles de TI. Cada uno de los procesos de TI de COBIT tiene un objetivo de control de alto nivel y un número de objetivos de control detallados. Los objetivos de control se identifican por dos caracteres que representan el dominio (PO, AI, DS y ME) más un número de proceso y un número de objetivo de control. Además de los objetivos de control, cada proceso COBIT tiene requisitos de control genéricos que se identifican con PCn, que significa número de control de proceso. Los controles efectivos reducen el riesgo, aumentan la probabilidad de la entrega de valor y aumentan la eficiencia debido a que habrá menos errores. Además, COBIT ofrece ejemplos ilustrativos para cada proceso con:
Entradas y salidas genéricas Actividades y guías sobre roles y responsabilidades Metas de actividades clave Métricas 31
MARCOS DE REFERENCIA
Los propietarios de procesos, además de evaluar qué controles son necesarios, deben entender qué entradas requieren de otros procesos y qué requieren otros de sus procesos (salidas), además de tener claros los roles y responsabilidades para cada proceso.
Controles del negocio y controles de TI El sistema de controles internos impacta a TI en tres niveles: Al nivel de dirección ejecutiva, se fijan los objetivos de negocio, se establecen políticas y se toman decisiones de cómo aplicar y administrar los recursos empresariales para ejecutar la estrategia de la compañía. Al nivel de procesos de negocio, se aplican controles para actividades específicas del negocio. La mayoría de los procesos de negocio están automatizados e integrados con los sistemas aplicativos de TI, y por tanto muchos de los controles a este nivel están automatizados. Estos se conocen como controles de las aplicaciones. Sin embargo, algunos controles dentro del proceso de negocios permanecen como procedimientos manuales, como la autorización de transacciones, la separación de funciones y las conciliaciones manuales. Para soportar los procesos de negocio, TI proporciona servicios, por lo general de forma compartida, por varios procesos de negocio, así como procesos operativos y de desarrollo de TI que se proporcionan a toda la empresa, y mucha de la infraestructura de TI provee un servicio común (es decir, redes, bases de datos, sistemas operativos y almacenamiento). Los controles aplicados a todas las actividades de servicio de TI se conocen como controles generales de TI.
32
MARCOS DE REFERENCIA
Controles generales de TI y de aplicación Los controles generales son aquellos que están incrustados en los procesos y servicios de TI. Algunos ejemplos son: Desarrollo de sistemas Administración de cambios Seguridad Operación de los equipos Los controles incluidos en las aplicaciones del proceso de negocios se conocen por lo general como controles de aplicación. Ejemplos: Integridad (Completitud) Precisión Validez Autorización Segregación de funciones La responsabilidad de los controles de aplicación es una unión de responsabilidades de extremo a extremo entre el Negocio y la TI, pero la naturaleza de las responsabilidades es diferente en ambos casos:
El Negocio
La unidad TI
es responsable de:
es responsable de:I
Definir adecuadamente los requisitos Automatizar e implementar los requisitos funcionales y de control.
funcionales del negocio y los controles.
Usar adecuadamente los servicios Establecer automatizados.
controles para mantener
la
integridad de los controles de aplicación. Tabla 5. Responsabilidades del Negocio y de TI
33
MARCOS DE REFERENCIA
Los procesos de TI de COBIT abarcan a los controles generales de TI, pero no los controles de las aplicaciones, debido a que son responsabilidad de los dueños de los procesos del negocio, y como se describió anteriormente, están integrados en los procesos de negocio.
2.3.5. Medidas e Indicadores Las empresas deben medir dónde se encuentran y dónde se requieren mejoras, e implementar un juego de herramientas gerenciales para monitorizar esta mejora de sus propios sistemas de TI. COBIT lo hace por medio de: Modelos de madurez que facilitan la evaluación y la identificación de las mejoras necesarias en la capacidad. Metas y mediciones de desempeño para los procesos de TI, que demuestran cómo los procesos satisfacen las necesidades del negocio y de TI. Metas de actividades para facilitar el desempeño efectivo de los procesos.
Modelos de madurez De acuerdo con COBIT, el propietario del proceso debe poder autoevaluar de forma progresiva, contra los objetivos de control. Esto responde a tres necesidades: Una medición relativa de dónde se encuentra la empresa Una manera de decidir hacia dónde ir de forma eficiente Una herramienta para medir el avance contra la meta
34
MARCOS DE REFERENCIA
Si se usan los procesos de madurez desarrollados para cada uno de los 34 procesos TI de COBIT, la Dirección podrá identificar: El desempeño real de la empresa: Dónde se encuentra la empresa hoy El estatus actual de la industria: La comparación El objetivo de mejora de la empresa: Dónde desea estar la empresa La evolución necesaria entre‘ tal como está‘ y ‗cómo debería ser‘
Para hacer que los resultados sean utilizables con facilidad en resúmenes gerenciales, se requiere contar con un método gráfico de presentación, como se muestra en la siguiente figura:
Ilustración 9 - Representación gráfica de los modelos de madurez
COBIT ha definido un modelo de madurez para cada uno de los 34 procesos de TI, con una escala de medición creciente como se indica a continuación: 0 No existente. Carencia completa de cualquier proceso reconocible. La empresa no ha reconocido siquiera que existe un problema a resolver. 1 Inicial. Se reconoce que los problemas existen y necesitan ser resueltos, pero no existen procesos estándar, en su lugar existen enfoques ad 35
MARCOS DE REFERENCIA
hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque es desorganizado. 2 Repetible. Se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación formal de los procedimientos estándar. 3 Definido. Los procedimientos se han estandarizado y documentado, y se han difundido a través de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos. 4 Administrado. Es posible monitorizar y medir el cumplimiento de los procedimientos y tomar medidas de si los procesos trabajan de forma efectiva. Los procesos están bajo constante mejora y proporcionan buenas prácticas. 5 Optimizado. Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rápida. La ventaja de un modelo de madurez es que es relativamente fácil para la dirección ubicarse a sí misma en la escala y evaluar qué se debe hacer si se requiere desarrollar una mejora. La capacidad de gestión del proceso no es lo mismo que el rendimiento del proceso. La capacidad viene determinada por el negocio y las metas de la TI. La capacidad, la cobertura del riesgo y el control son dimensiones de la madurez de un proceso como se ilustra en la siguiente figura:
36
MARCOS DE REFERENCIA
Ilustración 10 - Las tres dimensiones de la madurez
Así podemos decir que el modelo de madurez es una forma de medir hasta qué punto están bien desarrollados los procesos administrativos, esto es, qué capacidad tienen en realidad. Los modelos de madurez se desarrollan con el modelo genérico cualitativo al cual se añaden, en forma creciente, algunos principios contenidos en los siguientes atributos, a través de niveles: Conciencia y comunicación Políticas, estándares y procedimientos Herramientas y automatización Habilidades y experiencia Responsabilidad y rendición de cuentas Establecimiento y medición de metas
37
MARCOS DE REFERENCIA
La tabla de atributos de madurez que se muestra en la figura siguiente, lista las características de cómo se administran los procesos de TI y describe cómo evolucionan desde un proceso no existente hasta uno optimizado. Estos atributos se pueden usar para una evaluación más integral, para un análisis de brechas y para la planificación de mejoras.
38
MARCOS DE REFERENCIA
Tabla 6. Modelos de madurez
39
MARCOS DE REFERENCIA
Los modelos de madurez COBIT se enfocan a la capacidad, y no necesariamente en el desempeño o rendimiento. El desempeño, o la forma en que la capacidad se usa y se implanta, está condicionada por la rentabilidad (riesgo asumido y relación entre coste y eficiencia).
Un entorno de control implantado de forma adecuada, se logra cuando se han conseguido los tres aspectos de madurez (capacidad, desempeño y control). El incremento en la madurez reduce el riesgo y mejora la eficiencia, generando menos errores, más procesos predecibles y un uso rentable de los recursos.
Medición del desempeño Las métricas y las metas se definen en COBIT de acuerdo a tres niveles: Las metas y métricas de TI que definen lo que el negocio espera de TI. Metas y métricas de procesos que definen lo que el proceso de TI debe generar para dar soporte a los objetivos de TI. Métricas de desempeño de los procesos para indicar si es probable alcanzar las metas. Las metas se definen de arriba hacia abajo, empezando en las metas de negocio que determinarán el número de metas que soportará TI, las metas de TI decidirán las diferentes necesidades de las metas de proceso, y cada meta de proceso establecerá las metas de las actividades. Los términos KGI (Key Goal Indicador – Indicador Clave de meta) y KPI (Indicator Key Performance – Indicador clave de desempeño o rendimiento), que se utilizaban en la anterior versión de COBIT, han sido substituidos por estos dos tipos de métricas:
40
MARCOS DE REFERENCIA
Las medidas de resultados (outcome measures) definen medidas que informan de la gestión, a posteriori, de cómo una función de TI, proceso o actividad han alcanzado sus objetivos. Los indicadores de rendimiento o desempeño
(performance
indicators) definen mediciones que determinan hasta qué punto el negocio, la función de TI o el proceso TI se está ejecutando de forma adecuada y nos indican si es probable que se alcancen los objetivos. Se pueden medir antes de que los resultados sean claros. Miden las metas de las actividades, las cuales son las acciones que el propietario del proceso debe seguir para lograr un desempeño efectivo del proceso. Las métricas, para que sean efectivas deben tener las siguientes características: Una alta proporción entendimiento-esfuerzo (el entendimiento del desempeño y del logro de las metas frente al esfuerzo de lograrlos) Deben ser comparables internamente Deben ser comparables externamente, con otra empresas Es mejor tener pocas métricas que una lista más larga de menor calidad Debe ser fácil de medir y no se debe confundir con las metas
41
MARCOS DE REFERENCIA
2.3.6. El modelo del marco de trabajo de COBIT El marco de trabajo COBIT relaciona los requisitos de información y de gobierno a los objetivos de la función de servicio de TI. El modelo de procesos COBIT permite que las actividades de TI y los recursos que los soportan sean administrados y controlados, basados en los objetivos de control de COBIT, y alineados y monitorizados usando los objetivos y las métricas.
Ilustración 11 – Admin., control, alineación y monitorización de COBIT
Para resumir, los recursos de TI son manejados por procesos de TI para lograr metas de TI que respondan a los requisitos del negocio. Este es el principio básico del marco de trabajo COBIT, como se ilustra en el cubo COBIT:
Ilustración 12 - El cubo de COBIT
42
MARCOS DE REFERENCIA
En detalle, el marco de trabajo general COBIT se muestra gráficamente en la siguiente figura con el modelo de procesos de COBIT compuesto de cuatro dominios que contienen 34 procesos genéricos, administrando los recursos de TI para proporcionar información al negocio de acuerdo con los requisitos del negocio y de gobierno.
Ilustración 13 - Marco general de trabajo de COBIT
43
MARCOS DE REFERENCIA
2.4. PMBOK. La Guía del PMBOK es un estándar en la gestión de proyectos desarrollado por el Project Management Institute (PMI).La primera versión de PMBOK fue publicada en 1987. Esta versión consta de 37 procesos. La segunda versión fue publicada el 2000, basado en los comentarios recibidos de parte de los miembros. PMBOK fue reconocido como estándar por el American Nacional Standards Institute (ANSI) en 1998, y más adelante por el Instituto de los Ingenieros Electrónicos Eléctricos y (IEEE). Esta versión consta de 39 procesos. La tercera versión fue publicada en 2004, con mejoras importantes en la estructura del documento, adiciones a los procesos, términos y dominios del programa y de portafolios. Esta versión consta de 44 procesos. La cuarta versión fue publicada en 2008 (5). No introdujo cambios mayores, pero sí se organizó de manera más precisa, clara y fácil de entender. Esta versión consta de 42 procesos y es la versión vigente en la actualidad. PMI pretende definir, mantener y difundir un cuerpo de conocimiento con dos objetivos principales: Mejorar el desarrollo de proyectos en diferentes industrias mediante el uso de buenas prácticas. Definir procesos de gestión de proyectos estándares y homogéneos para todo tipo de proyectos
2.4.1. ¿ Qué es un proyecto?. Según PMBOK, un proyecto es un esfuerzo temporal que se lleva a cabo para crear un producto, servicio o resultado único. La naturaleza temporal de los proyectos indica un principio y un final definidos. El final se alcanza cuando se logran los objetivos del proyecto o cuando se termina el proyecto porque sus objetivos no se cumplirán o no pueden ser cumplidos, o cuando ya no existe la necesidad que dio origen al proyecto. 44
MARCOS DE REFERENCIA
Todo proyecto debe crear un resultado único, lo que lo distingue de tareas repetitivas realizadas en trabajos permanentes. Por ejemplo, una tarea de oficina realizada todos los días no es un proyecto, aunque requiera alguna planificación. Un proyecto suele ser algo más complejo. Dirigir un proyecto por lo general implica: identificar requisitos, abordar las diversas necesidades, inquietudes y expectativas de los interesados según se planifica y efectúa el proyecto, equilibrar las restricciones contrapuestas del proyecto que se relacionan, entre otros aspectos, con: o
el alcance,
o
la calidad,
o
el cronograma,
o
el presupuesto,
o
los recursos y
o
el riesgo
Para dirigir un proyecto, PMBOK ha identificado 42 procesos que permiten transformar la ejecución de un proyecto en una serie de procesos concatenados, y no solo como una serie de actividades, donde para cada proceso se consideren: Entradas Herramientas y técnicas Salidas Asimismo, la dirección de proyectos implica un equilibrio entre diferentes
variables.
Tradicionalmente,
se ha
hablado
de
una
triple
dependencia del proyecto respecto al coste, alcance y tiempo en el sentido de que es posible realizar un cambio en uno de estos aspectos sin alterar los otros dos. Realmente, la dependencia es más amplia en el sentido de que los factores que se afectan mutuamente en el desarrollo de un proyecto son, además de los mencionados, la Calidad, Los Riesgos del proyecto y la satisfacción del cliente. 45
MARCOS DE REFERENCIA
Coste
Satisfación del cliente Ilustración 14. Factores que afectan a los proyectos
Asimismo, PMBOK distingue dos dimensiones o formas de clasificar los distintos procesos y actividades del proyecto: La dimensión temporal en la que se considera el ciclo de vida de un proyecto y la dimensión funcional, que hace referencia a las diferentes áreas de conocimiento que se ponen en juego para alcanzar los objetivos del proyecto. Vamos a ver cada una de estas dos dimensiones a continuación:
2.4.2. Ciclo de vida y fases del proyecto Empezando con la dimensión temporal, cada proyecto sigue una evolución desde su inicio hasta que finaliza. El ciclo de vida del proyecto es un conjunto de fases del mismo, generalmente secuenciales y en ocasiones superpuestas, cuyo nombre y número se determinan por las necesidades de gestión y control de la organización, la naturaleza propia del proyecto y su área de aplicación. En general, cualquier proyecto, por simple que sea, se estructura de acuerdo a la siguiente estructura del ciclo de vida: Inicio 46
MARCOS DE REFERENCIA
Organización y preparación Ejecución de los trabajos del proyecto Cierre del proyecto
Vemos en la figura que en cada fase se obtienen unos resultados concretos (acta de constitución del proyecto, Plan del proyecto, entregables, etc) y que los niveles de costo son bajos al inicio del proyecto, alcanzan su punto máximo según se desarrolla el trabajo y caen rápidamente cuando el proyecto se acerca al cierre.
Costo $
Comienzo Organización del proyecto y preparación
Acta de constitución
Ejecución del trabajo
Plan del proyecto
Inicio
Cierre
Entregables aceptados
Tiempo
Final
Ilustración 15. Ciclo de vida de un proyecto
Desde el punto de vista de los procesos y del ciclo de vida, PMBOK establece cinco grupos de procesos que se corresponden con las distintas etapas del proyecto indicadas en la figura anterior, más un sexto grupo de procesos de control:
Procesos de Iniciación.- Autorización del proyecto o de una fase. Proceso de Planificación.- Definición y redefinición de objetivos, selección de la mejor alternativa entre posibles cursos de acción Proceso de Ejecución.- Coordinación de las personas y de otros recursos necesarios Proceso de Control.- Aseguramiento de que se cumplan los objetivos del proyecto, mediante la supervisión y la medición regular de avances. Proceso de Cierre.- Formalización de la aceptación del proyecto o de una fase. 47
MARCOS DE REFERENCIA
Procesos de Iniciación
Procesos de Planificación
Procesos de Ejecución
Procesos de Control
Procesos de Cierre
Costo $ Comienzo Organización Ilustración 16. Grupos de procesos de un proyecto
Ejecución del trabajo
del proyecto y preparación
Esta es el ciclo de vida más sencillo en la que el proyecto consta de una Acta de Plan del única fase. Es común encontrar proyectos con varias fases, secuenciales o constitución proyecto
incluso superpuestas.
Inicio
Tiempo
2.4.3. Áreas de conocimiento Si, en vez de en la dimensión temporal, nos fijamos ahora en la dimensión funcional, podemos agrupar los procesos de la dirección de proyectos de acuerdo a las siguientes áreas de conocimiento: La administración de la Integración del Proyecto, describe los procesos y actividades que sirven para integrar los diversos elementos de la dirección de proyectos, lo que incluye: •
Desarrollar el Acta de Constitución del Proyecto
•
Desarrollar el Plan para la Dirección del Proyecto
•
Dirigir y Gestionar la Ejecución del Proyecto
•
Monitorear y Controlar el Trabajo del Proyecto
•
Realizar Control Integrado de Cambios
•
Cerrar el Proyecto o la Fase
48
E ac
MARCOS DE REFERENCIA
La gestión del Alcance del Proyecto, con los procesos involucrados en garantizar que el proyecto incluya todo (y únicamente) el trabajo requerido para completarlo exitosamente, lo que incluye: •
Recopilar los Requisitos
•
Definir el Alcance
•
Crear la Estructura de Desglose del Trabajo (EDT)
•
Verificar el Alcance
•
Controlar el Alcance
La gestión del Tiempo del Proyecto, se centra en los procesos que se utilizan para garantizar la conclusión a tiempo del proyecto. Incluye: •
Definir las Actividades
•
Secuenciar las Actividades
•
Estimar los Recursos para las Actividades
•
Estimar la Duración de las Actividades
•
Desarrollar el Cronograma
•
Controlar el Cronograma
La gestión de los Costos del Proyecto, describe los procesos involucrados en planificar, estimar, presupuestar y controlar los costos de modo que se complete el proyecto dentro del presupuesto aprobado. Para ello, es necesaria la realización de las siguientes actividades: •
Estimar los Costos
•
Determinar el Presupuesto
•
Controlar los Costos
La gestión de la Calidad del Proyecto, describe los procesos involucrados en planificar, dar seguimiento, controlar y garantizar que se cumpla con los requisitos de calidad del proyecto, lo que incluye: •
Planificar la Calidad
•
Realizar el Aseguramiento de Calidad
•
Realizar el Control de Calidad. 49
MARCOS DE REFERENCIA
La gestión de los Recursos Humanos del Proyecto, los procesos involucrados en la planificación, adquisición, desarrollo y gestión del equipo del proyecto. Para ello es necesario: •
Desarrollar el Plan de Recursos Humanos
•
Adquirir el Equipo del Proyecto
•
Desarrollar el Equipo del Proyecto
•
Gestionar el Equipo del Proyecto.
La gestión de la Comunicación, identifica los procesos involucrados en garantizar que la generación, recopilación, distribución, almacenamiento y disposición final de la información del proyecto sean adecuados y oportunos. Esto incluye la necesidad de: •
Identificar a los Interesados
•
Planificar las Comunicaciones
•
Distribuir la Información
•
Gestionar las Expectativas de los Interesados
•
Informar el Desempeño
La gestión del Riesgo del Proyecto, describe los procesos involucrados en la identificación, análisis y control de los riesgos para el proyecto, a saber: •
Planificar la Gestión de Riesgos
•
Identificar los Riesgos
•
Realizar Análisis Cualitativo de Riesgos
•
Realizar Análisis Cuantitativo de Riesgos
•
Planificar la Respuesta a los Riesgos
•
Dar seguimiento y Controlar los Riesgos.
La gestión de Adquisiciones, describe los procesos involucrados en la compra o adquisición de productos, servicios o resultados para el proyecto. Esto incluye: •
Planificar las Adquisiciones
•
Efectuar las Adquisiciones
•
Administrar las Adquisiciones
•
Cerrar las Adquisiciones 50
MARCOS DE REFERENCIA
Esta división sea probablemente más intuitiva y conocida que la dimensión temporal. Hay que tener en cuenta que los procesos no se ejecutan de manera secuencial. Incluso es posible que algunos procesos no se ejecuten en algún proyecto dado que PMBOK es un conjunto estructurado de buenas prácticas que deben adaptarse en cada organización y proyecto en función de la naturaleza del proyecto, cultura de la organización y otras variables. En la siguiente figura se muestran las dos dimensiones de un proyecto. Dimensión temporal
Iniciación
Planificación
Ejecución
Control
Cierre
Gestión de la configuración
Dimensión funcional Gestión de integración
Gestión del tiempo
Gestión de la comunicación
Gestión del alcance
Gestión de costos
Gestión de riesgos
Gestión de la calidad
Gestión de RRHH
Gestión de compras
Ilustración 17.Dimensiones temporal y funcional de un proyecto
2.4.4. Despliegue de procesos en un proyecto Una vez entendido el carácter dual de un proyecto en la dimensiones temporal y funcional, es necesario atender a cómo encajan los procesos definidos por el PMI en un proyecto tipo. Ya hemos indicado que los procesos no siguen una progresión secuencial pero sí es cierto que las actividades de cada proceso se intensifican en unas etapas temporales concretas. Así, por ejemplo, el proceso de Estimación de costos del proyecto se realiza por lo general en la etapa de Planificación del proyecto. También es cierto que unos procesos se realizan antes que otros; No es posible realizar el proceso anterior sin haber realizado el proceso Estimación de recursos. Sin embargo, el proceso de planificación es iterativo ya que la planificación de cada aspecto del proyecto (inversiones, recursos humanos, plazos, etc) se 51
MARCOS DE REFERENCIA
establecen por medio de refinaciones sucesivas hasta el cierre de la baseline o planificación base del proyecto. Incluso en la propia ejecución del proyecto se establecen mecanismos de control que pueden impactar en la planificación inicial, teniendo que recalcular los plazos, costes u otros parámetros del proyecto. De
una
manera
gráfica,
representamos
en
la
siguiente
figura
la
correspondencia de cada uno de los procesos definidos en PMBOK con su marco temporal y con su área de conocimiento:
52
MARCOS DE REFERENCIA
Gestión de la configuración
Iniciación Gestión de integración
Planificación
Acta proyecto
Ejecución
Desarrollo plan proyecto
Ejecución plan proyecto
Gestión del alcance
Recopilar requisitos
Gestión del tiempo
Definición Secuenciació Estimación actividades n actividades de recursos
Gestión de costos
Estimación costos
Gestión de la calidad
Planificación calidad
Gestión de RRHH
Planificación organizativa
Incorporació Desarrollo n personal de equipo
Planificación comunicacion es
Distribución información
Gestión de la comunicación Gestión de riesgos Gestión de compras
Identificar interesados
Planeación de riesgos
Definición alcance
Creación EDT
Estimación duración actividades
Desarrollo programación
Supervisa y controlar el trabajo
Control global cambios
Verificación alcance
Control cambio alcance
Cierre Cierre de proyecto
Control programación
Presupuesto costos
Control de costos
Garantía calidad
Identificación riesgos
Control
Análisis cualitativo
Análisis cuantitativo
Control calidad
Gestión de equipo
Gestionar a los interesados
Planes de respuestas
Planificación compras
Reporte rendimiento
Control medidas
Efectuar adquisiciones
Administrar contratos
Cierre contratos
Ilustración 18.Despliegue de procesos en un proyecto
53
MARCOS DE REFERENCIA
2.4.5. Proyectos y Gobierno TI A menudo, los proyectos se utilizan como el medio para cumplir con el plan estratégico de una organización, que está íntimamente relacionado con el Gobierno corporativo de la organización, dentro del cual se enmarca el Gobierno TI. Por lo general, los proyectos se autorizan como resultado de una o más de las siguientes consideraciones estratégicas: Demanda del mercado (por ej., una compañía automotriz que autoriza un proyecto para construir más automóviles de bajo consumo en respuesta a la escasez de combustible), Oportunidad estratégica/necesidad comercial (por ej., un centro de capacitación que autoriza un proyecto de creación de un curso nuevo, para aumentar sus ganancias), Solicitud de un cliente (por ej., una empresa eléctrica que autoriza un proyecto para construir una nueva subestación a fin de abastecer un nuevo parque industrial), Adelantos
tecnológicos
(por
ej.,
una
compañía
de
productos
electrónicos que autoriza un proyecto nuevo para desarrollar una computadora portátil más pequeña, más económica y más veloz, a partir de adelantos en materia de
memorias de computadoras y
tecnología electrónica), y Requisitos legales (por ej., un fabricante de productos químicos autoriza un proyecto para sentar las pautas para la manipulación de un nuevo material tóxico). De esta manera, los porfolios de proyectos resultan un medio para alcanzar las metas y los objetivos de la organización, a menudo en el contexto de un plan estratégico. Los
programas, proyectos y otros trabajos relacionados que lo
constituyen se priorizan. De esta manera, el plan estratégico de una organización se convierte en el principal factor que guía las inversiones en los proyectos. Al mismo tiempo, los proyectos retroalimentan los programas y portafolios mediante informes de estado y solicitudes de cambio que pueden ejercer un impacto sobre otros proyectos, programas o portafolios. Se acumulan necesidades de proyectos, incluso de recursos, y se comunican nuevamente a nivel del portafolio, lo que marca a su vez la dirección para la planificación de la organización. 54
MARCOS DE REFERENCIA
2.5. Buenas prácticas ITIL El modelo de buenas prácticas ITIL (Information Technology Infraestructure Library) fue desarrollado a finales de 1980 y se ha convertido en el estándar mundial de facto en la Gestión de Servicios Informáticos. ITIL pertenece y depende de la OGC (Office of Government Comerce) de Gran Bretaña y ha servido de base para el estándar ISO 20000. Iniciada como una guía para el gobierno del Reino Unido, la estructura base ha demostrado ser útil para las organizaciones en todos los sectores a través de su adopción por innumerables compañías como base para consulta, formación y soporte de herramientas de software. Actualmente consta de 7 libros que, de una forma integrada y coherente, define las mejores prácticas para la gestión de las diferentes áreas de servicios de TI. Sus directrices están pensadas para adaptarse a las necesidades específicas de cada organización. ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de la informática para alcanzar sus objetivos corporativos. Esta dependencia en aumento, ha provocado la necesidad creciente orientar los departamentos TI hacia la calidad en los objetivos del negocio, y demanda que satisfaga los requisitos y las expectativas del cliente. Por ello en los últimos años, a pasado el énfasis de estar en el desarrollo de aplicaciones TI a la Gestión de Servicios TI.
2.5.1. Estructura ITIL La filosofía ITIL supone un cambio de gran envergadura para una organización clásica. Se ha de considerar que el objetivo de cualquier empresa es la gestión de las tareas que producen un bien o servicio, y estás cada vez se apoyan más en el soporte tecnológico, el cual llega a ser crítico.
Ilustración 19: De negocio a tecnología
55
MARCOS DE REFERENCIA
Las
organizaciones se han dividido en áreas de responsabilidad,
relacionando las necesidades de negocio y tecnología que la sustenta. Así aparecen las áreas de Servicios TI como Monitorización, Service Desk, Mantenimiento, etc.
Ilustración 20: independencia entre departamentos
El problema aparece cuando las aplicaciones de las áreas no están integradas y no existe una fuente común ―contrastada‖ de datos; es entonces cuando la comunicación entre departamentos depende del factor humano (El responsable avise con correos, teléfono, etc.). Todo esto motiva que no haya una visión única de negocio, sino que está dividida según la visión de cada departamento. ITIL parte de la necesidad de un repositorio central, CMDB (Configuration Management Data Base) y la gestión de Configuración, que proporciona información coherente y actualizada de los componentes que forman un servicio y de sus interrelaciones. La información recogida en esta base de datos tiene que reflejar en todo momento la realidad operativa, y por extensión el Catálogo de Servicios de la organización. También ha de recoger la evolución de los diferentes componentes a lo largo de su ciclo de vida y servir como fuente de información al resto de actividades de la organización TI.
56
MARCOS DE REFERENCIA
Ilustración 21: Fuentes de datos. Organización clásica vs. ITIL
La transformación a ITIL requiere la adecuada Gestión de Servicio y cambiar la actuación de la organización TI, pasando de realizar las tareas de forma reactiva a hacerlo de forma proactiva. Por todo ello, la perspectiva de la organización cambia de un punto de vista Técnico o de Sistemas a un punto de vista de Negocio o Servicios.
Ilustración 22: Etapas de transformación ITIL
La división de las áreas de trabajo según las recomendaciones de ITIL son: Negocio. Los servicios son proporcionados por los empleados de la empresa (Usuarios de las herramientas y procedimientos ITIL) y son consumidos por los Clientes.
57
MARCOS DE REFERENCIA
Perspectiva de Negocio. Los servicios se definen según la evolución de las necesidades de los Clientes. Se estudia la viabilidad económica, planificación de los nuevos servicios, relación con los proveedores y la comunicación interna de los hitos alcanzar en la empresa. Los servicios definidos en la Perspectiva de Negocio,
están
implementado con procesos que se ejecutan en hardware y componentes tecnológicos. o
Prestación de Servicio. Monitorizando el estado del HW y SW se puede saber cual es la calidad del Servicio que se está dando al usuario. Con ello se puede conocer que Servicios son los más rentables, o conocer la razón del coste excesivo de éstos (Los costes de mantenimiento, licencias, número de incidencias muy alto, etc.)
o
Soporte a Servicio. Los errores detectados por la monitorización y/o comunicados al Centro de Atención se registran para su corrección. Los errores entra en el workflow de ser corregidos, planificado su cambio y su posterior despliegue en producción.
La Gestión de Infraestructura se encarga de las comunicaciones y mantenimiento de los componentes tecnológicos. Es importante adecuar el soporte físico a las necesidades del SW que prestan los servicios de negocio. Gestión de Aplicación. Actualmente las organizaciones necesitan desarrollar SW para automatizar los procesos de negocio e implemente su lógica. Se denomina Gestión de Aplicación a la gestión del ciclo de vida de este SW hasta su implantación en producción. Planificando
la
Implantación
de
la
Gestión
de
Servicio.
Las
organizaciones no son estáticas en el tiempo, desarrollar nuevos servicios, mejorar los existentes e introducir nuevas herramientas es básico en todas las empresas. Esto lleva a establecer un plan estratégico que defina los objetivos a medio y largo plazo, teniendo en cuenta las dependencias entre todas las áreas de trabajo en la organización. A esta área del marco de ITIL se le denomina Planificando la Implantación de la Gestión de Servicio.
58
MARCOS DE REFERENCIA
Ilustración 23: Perspectiva global de ITIL
La idea principal sobre la cual se construye ITIL, es la existencia de dependencias entre los recursos a la hora de gestionar los servicios TI. Se aconseja que la información sobre dichos recursos se encuentre centralizada en una base de datos CMDB. De esta forma podemos medir, planificar y cuantificar cada uno de los servicios de forma independiente, estableciendo relaciones entre los recursos y los servicios. ITIL abarca conceptos de gestión y organización presentes en las organizaciones TI como soluciones individuales. Desde esta nueva perspectiva se mantienen interrelacionados aspectos como BSM (Gestión de Negocio), ITAM (Gestión de Activos), Gestión de la Configuración y Help Desk, entre otros. Estos conceptos son reubicados en el mapa ITIL para contrastar información, eliminar duplicidades, costes, incongruencias…
59
MARCOS DE REFERENCIA
Usuario
U suario
C lientes
G
Negocio Perspectiva de N
Negocio
estión egocio de
ando Prestación de
Aplica
Servicio
ción
P lanific la Imple menta
G estión de Seguridad
Soporte de Servicio
ción de la Gestió n de Servic io
Tecnología
Ilustración 24: Áreas cubiertas de ITIL en una organización tradicional
ITIL identifica las tareas que se desarrollan en las organizaciones TI y su relación,
además de permitir una visión End-to-End (Extremo a Extremo) de la
organización, lo que a su vez proporciona más dinamismo en los cambios de la organización.
2.5.2. Módulos principales ITIL Como se ha comentado en el punto anterior existen dos módulos que se convierten en la espina dorsal de la gestión de las organizaciones TI dentro del marco ITIL. Ya que gestionan la mayoría de los procesos que relaciona los servicios de Negocio y infraestructura que los soporta. Estos módulos, de los que se hablará más detenidamente en este apartado, son Soporte de Servicios y Prestación de Servicios.
Soporte de Servicios El núcleo sobre el que se apoya una organización que adopte una filosofía ITIL es el Soporte a Servicios, centrado en la gestión de HW y SW para mejorar la calidad de los mismos.
60
MARCOS DE REFERENCIA
Ilustración 25: Área de responsabilidad de Soporte a Servicio
Las actividades de este módulo se encuentran desglosadas por su naturaleza y alcance en varios grupos, como se muestra en la Ilustración
Ilustración 26: Procesos dentro del Soporte a Servicios
Gestión de Incidencias Su objetivo es restaurar el servicio normal tan pronto como sea posible, minimizando el impacto negativo de una incidencia sobre el negocio. De esta forma, la organización puede asegurar el cumplimiento de los SLAs en términos de calidad, tiempos y disponibilidad.
61
MARCOS DE REFERENCIA
La forma de canalizar todas las incidencias es a través de un Centro de Servicio único, que las recibirá y gestionará en su ciclo de vida, manteniendo informado al usuario en todo momento. Un ejemplo de esto podría ser el fallo en un proceso batch, de lo cual se informa a la Gestión de Incidencias, que tomará las medidas adecuadas para el reestablecimiento del servicio que se vea afectado. Gestión de Problemas Su fundamento es la prevención y corrección permanente de los incidencias, identificando y corrigiendo los problemas, tanto de forma reactiva como proactiva. Por ello da soporte a la Gestión de Incidencias, proporcionando información y soluciones temporales o parches. Asimismo, mantiene un registro de los errores conocidos para consultarlo en el ámbito de sus funciones. Como consecuencia de este conocimiento puede proponer al área de Gestión de Cambios las Peticiones de Cambio (RFC) que sean necesarias para el reestablecimiento de la calidad del Servicio. Igualmente, realiza Revisiones Post Implementación (PIR), para asegurar que los cambios han surtido los efectos buscados, sin crear problemas de carácter secundario. La Gestión de Problemas no debe confundirse con la Gestión de Incidencias. Esta última, no se preocupa de encontrar y analizar las causas subyacentes a una determinada incidencia sino exclusivamente a restaurar el servicio. Sin embargo existe una fuerte interrelación entre ambas. Continuando con el ejemplo anterior, la Gestión de Problemas se encargaría de buscar las causas del fallo en la ejecución del proceso batch y proponer una solución (RFC) que será atendida en la Gestión del Cambio. Gestión de Cambio Tiene como objetivo desarrollar una metodología estándar para gestionar los cambios, manejándolos con rapidez y con el menor impacto posible. De esta forma se asegura en todo momento la calidad
62
MARCOS DE REFERENCIA
y continuidad del servicio TI y se provee una mejor visión del riesgo y costes. En el caso de ejemplo, se analizaría la petición de cambio solicitada desde la Gestión de Problemas, se aprobaría y planificaría. También se elaborarían planes de back-out con el fin de volver a la situación inicial en caso necesario. Gestión de Despliegues Se centra en el diseño e implementación de los procedimientos de distribución e implantación, asegurándose de que se pone en marcha únicamente las versiones correctas, consistentes y autorizadas, que serán implementadas en el entorno de producción tras su verificación en un entorno realista de pruebas. Se ha de garantizar que el proceso de cambio cumple las especificaciones de la RFC correspondiente y, en colaboración con la Gestión de Cambios y Configuraciones, que todos los cambios se ven correctamente reflejados en la CMDB. En el ejemplo, la Gestión de Despliegue se encargaría de llevar a cabo el cambio finalmente aprobado bajo las mejores condiciones para el servicio. Gestión de la Configuración Constituye junto con la CMDB el núcleo de la solución ITIL. Su función es proveer y mantener información precisa de la configuración y su documentación, apoyando todos los procesos vistos en la Gestión global de los Servicios.
Prestación de Servicios Bajo esta denominación quedan englobadas todas las actividades encargadas de monitorizar y gestionar la calidad de los Servicios desde la perspectiva de negocio y financiera.
63
MARCOS DE REFERENCIA
Ilustración 27: Área de responsabilidad de Prestación de Servicio
Se apoya en los grupos descritos anteriormente y se subdividen en varias categorías, como se aprecia en la siguiente figura:
Ilustración 28: Procesos dentro de la Prestación de Servicios
Los procesos involucrados en la Prestación de Servicios se apoyan en el conjunto de los procesos de Soporte a Servicios. Para asegurar los objetivos del negocio, se ha de gestionar adecuadamente la visión financiera, la continuidad, la capacidad y la disponibilidad de los servicios. Para lograrlo, es vital disponer de la información que 64
MARCOS DE REFERENCIA
proveen los procesos de Soporte a Servicios, que detallan la situación de los recursos TI de la organización, desde el punto de vista de los servicios que se ofrecen. Gestión de la Disponibilidad Se trata de asegurar que los Servicios TI están diseñados para proveer los recursos de disponibilidad que requiere el negocio, siendo el punto de registro de todos los eventos que afectan a la disponibilidad TI. Asimismo se ha de desarrollar un Plan de Mantenimiento. Gestión de la Capacidad La finalidad de la Gestión de la Capacidad es ajustar los costes de la capacidad TI con las necesidades presentes y futuras del negocio, generando proyecciones fiables y manteniendo un Plan de Capacidad. Gestión Financiera Las actividades englobadas en este ámbito son de tipo presupuestario, contable y de política de precios. Se identificará el coste real de la provisión de Servicios TI, controlando y gestionando su lado financiero. Gestión de la Continuidad Debe actuar proactivamente para asegurar la continuidad del negocio en todo momento, gestionando el riesgo y elaborando Planes de Contingencia para ocasiones de desastre. Otro aspecto importante es la concienciación en toda la organización y la realización de pruebas de forma regular.
2.5.3. Gestión del SLA y seguridad en ITIL El objetivo fundamental de la Gestión del Nivel de Servicio es la definición, negociación y mejora de la calidad de los servicios TI. Esta calidad se concreta en el Acuerdo de Nivel de Servicio (SLA), que detalla el Servicio a prestar, consensuado por ambas partes, Organización TI y Cliente. Esta cuestión constituye el eje central del Negocio y por ello ha de manejar una visión global y completa de toda la organización. De ahí su relación con todas y cada una de las áreas de gestión que se han visto hasta este momento, tanto de Soporte como de Prestación. 65
MARCOS DE REFERENCIA
Finalmente y abarcando varias áreas, la Gestión de la Seguridad tiene como objetivo el cumplimiento de los requisitos de seguridad en los SLAs, asegurando además un nivel de seguridad básico independiente de los requisitos externos.
66
3
Comparativa de modelos
COMPARATIVA DE MODELOS
3.1. Introducción. Una vez descritos los diferentes marcos de gobierno TI, vamos a realizar una comparativa
entre los diferentes modelos y normas descritos, identificando los
aspectos de Gobierno TI contemplados en cada uno de ellos a fin de poder hacer una recomendación de uso. Partimos del hecho reconocido de que COBIT es actualmente el marco más amplio y aceptado, con lo que estableceremos correspondencias de este con el resto de normas, estándares y buenas prácticas.
3.2. Cobit e Iso 38500 De la descripción realizada en el capítulo anterior del marco COBIT y de la norma ISO 38500 podemos comprender que ISO 38500 no se posiciona como una alternativa a COBIT, sino como un complemento a este. La misma norma ISO 38500 recomienda a la alta dirección de las organizaciones el uso de una selección de marcos, normas y estándares para llevar a cabo sus funciones de gobierno TI. En cualquier caso, lo verdaderamente importante de cualquier mecanismo de Gobierno TI es el que la dirección de la organización, al nivel más alto, sea consciente de la necesidad y participe activamente en establecer y monitorear el sistema de gobierno TI elegido. En este sentido, la mayor coincidencia de COBIT e ISO 38500 no está en la coincidencia en los procesos, actividades o principios, sino en la identificación de la alta dirección como responsable del Gobierno TI de la organización, y en la necesidad de un alineamiento de las actividades de TI y negocio como fuente de valor. Una de las publicaciones de ITGI, Board Briefing on IT Governance (6) proporciona orientación sobre los roles y responsabilidades para el gobierno de TI en las empresas y para la función de TI, ya sea interna o tercerizada, y describe la forma de establecer un eficaz comité ejecutivo (estratégico) de TI.
68
COMPARATIVA DE MODELOS
Dado que el estándar ISO 38500 no define un conjunto concreto de procesos, no es posible establecer una equivalencia a nivel de procesos. Realmente ISO 38500 se centra más en QUÉ se debe hacer, mientras que COBIT se focaliza en el CÓMO. Vamos a analizar con mayor detalle las partes de COBIT que dan soporte a los principios definidos en la norma ISO 38500.
Responsabilidad Según este principio de la norma ISO 38500, se requieren estructuras de
organización
de
gobierno
apropiadas,
así
como
funciones
y
responsabilidades correctamente asignadas por la dirección, que proporcionen claridad en cuanto a la autoría y la rendición de cuentas por las tareas y decisiones importantes. Veamos cómo ayuda COBIT a conseguir esto: ITGI, en publicaciones complementarias al propio modelo, como en Board Briefing on IT Governance , proporciona orientación sobre los roles y responsabilidades de la dirección y de la función TI para garantizar el Gobierno TI. COBIT proporciona matrices RACI de responsabilidades en los distintos procesos.
Estrategia En la publicación Board Briefing on IT Governance se explica cómo debe implementarse una planificación estratégica TI efectiva alineada con la estrategia de la organización de forma que aporte valor. Asimismo, en el dominio Planificar y organizar PO, se definen los procesos necesarios para una planificación efectiva por parte de la función TI.
69
COMPARATIVA DE MODELOS
Adquisición El dominio Adquirir e Implementar AI proporciona una guía sob re cómo adquirir e implementar soluciones viables incluyendo la especificación de requisitos, implementación, pruebas, formación a usuarios, etc. Asimismo, en el dominio PO se contemplan procesos de planificación de inversiones así como planificación de de programas y proyectos.
Desempeño La medición efectiva del desempeño requiere de la definición clara de objetivos e indicadores que deben ser establecidos de arriba abajo, de manera coordinada y consistente. COBIT facilita el buen desempeño de las organizaciones por medio de: Definición de objetivos de TI asociados con los objetivos de la organización con indicadores concretos y procesos de revisión continuos y comparación con modelos de madurez. Los procesos PO1 (Definir un plan estratégico de TI) y DS1 (Definir y gestionar los acuerdos de servicio) ofrecen orientaciones específicas para establecer metas concretas de desempeño. El proceso COBIT ME1 (Monitorizar y evaluar el desempeño de TI) se focaliza en las responsabilidades de la dirección ejecutiva para esta actividad. Asimismo, el proceso ME4 (Supervisar y evaluar el gobierno de TI) se orienta en la propia medición del desempeño del gobierno TI.
Conformidad El cumplimiento normativo es uno de las mayores preocupaciones de las organizaciones actuales. COBIT ayuda a cumplir con las diferentes normativas con los siguientes recursos. La base de COBIT es la definición de controles. El ambiente necesario para la definición y evaluación de controles favorece el cumplimiento de objetivos, incluidos los impuestos por las normasx internas y/o externas. 70
COMPARATIVA DE MODELOS
En concreto, el proceso ME2 (Monitorizar y evaluar controles TI) se encarga de monitorizar y evaluar la consecución de los controles internos establecidos. En el proceso ME3 (Asegurar el cumplimiento de requisitos externos), se sientan las bases para el análisis y la supervisión de los requerimientos externos, incluyendo los normativos.
Comportamiento humano ISO 38500 indica que la alta dirección debe preocuparse dell comportamiento de las personas que de una manera u otra se relacionan con las actividades TI. Esto debe ocurrir en dos sentidos: Las personas deben comportarse de manera que afecten positivamente el desempeño de TI y debe garantizarse que las actividades de TI no afecten negativamente a las personas. COBIT colabora en este propósito por medio de los siguientes elementos: El proceso PO4 (Definir la organización y relaciones TI) explica como la organización y sus procesos relacionados pueden satisfacer las necesidades del personal a todos los niveles. Asimismo, de manera explícita define el comportamiento esperado del personal en el desempeño de su trabajo. Por medio del proceso PO6 (Comunicar la dirección objetivos de la gerencia) se asegura que los objetivos de la organización son comunicados claramente y que la cultura laboral favorece una actitud correcta del trabajador hacia el control y el riesgo. PO7 (Gestión de los recursos humanos de TI) es el proceso específico de COBIT para alinear el comportamiento de las personas con las metas
corporativas,
la
definición
de
responsabilidades
y
el
mantenimiento del conocimiento. El foco del proceso DS7 (Educar y entrenar a los usuarios) es el de asegurar que los usuarios conocen lo necesario para garantizar un uso eficaz de los sistemas TI.
71
COMPARATIVA DE MODELOS
Evaluar Los siguientes recursos de COBIT apoyan en la consecución de la tarea Evaluar de ISO 38500: Todo el modelo COBIT se basa en el ciclo de Deming que incluye como acciones básicas la planificación inicial así como
la
comprobación posterior de que las acciones se han desarrollado de acuerdo a lo previsto De forma más concreta, en la publicación IT Governance Implementation Guide: Using COBIT and Val IT, 2nd Edition, se explica cómo focalizar la evaluación de TI en necesidades de negocio y procesos críticos de TI, y luego, cómo realizar un análisis de brecha respecto de las mejores prácticas.
Dirigir No hay una correspondencia directa entre una parte concreta del modelo COBIT y esta tarea definida en la norma ISO 38500. Sin embargo, todo el modelo COBIT proporciona una base para evaluar la idoneidad de las prácticas de gestión y los controles de TI, permitiendo a la dirección la evaluación y comparación de la capacidad de los procesos de TI.
Monitorizar La monitorización es parte de toda la filosofía de COBIT. En particular: La publicación
Board Briefing on IT Governance, describe lo que los
consejos de dirección deberían hacer para supervisar efectivamente el gobierno corporativo. Todo el dominio ME cubre la medición del desempeño, la efectividad del control interno, conformidad con requisitos externos y la consecución de un eficaz gobierno corporativo.
La siguiente figura resume las relaciones y coincidencias entre ambos modelos:
72
COMPARATIVA DE MODELOS
ISO 38500
COBIT
Publicaciones complementarias (Board briefing..) Tablas RACI de los procesos Responsabilidad Filosofía subyacente a todo el modelo Actividades de supervisión del Gobierno IT en ME4 Publicaciones complementarias (Board briefing..) Estrategia Procesos de planificación y organización PO Planificación de inversiones Planificación de programas y proyectos Dominio AI (adquirir e implementar) define procesos necesarios Adquisición para la gestión de las adquisiciones El dominio ME incluye orientaciones sobre cómo supervisar y evaluar las inversiones y adquisiciones Definición de objetivos claros y medibles Alineamiento con el negocio PO1 Definir Plan estratégico ayuda definir metas Desempeño DS1 Definir y gestionar SLAs (definir metas) ME1 Monit. Desempeño IT (Medir cumplimiento obetivos) ME4 Monit. Desempeño Gobierno IT (Medir cumplimiento objetivos) Definición de controles Conformidad ME2 Monitorizar y evaluar controles TI ME3 Asegurar el cumplimiento de requisitos externos PO4 Definir la organización y relaciones TI PO6 Comunicar la dirección objetivos de la gerencia Comportamiento humano PO7 Gestión de los recursos humanos de TI DS7 Educar y entgrenar a los usuarios
Evaluar
Dirigir
Monitorizar
Basado en modelo PDCA Deming En IT Governance Implementation Guide: Using COBIT and Val IT, se explica cómo focalizar la evaluación de TI en necesidades de negocio y procesos críticos de TI, y luego, cómo realizar un análisis de brecha respecto de las mejores prácticas. Todo el modelo COBIT proporciona una base para evaluar la idoneidad de las prácticas de gestión y los controles de TI, permitiendo a la dirección la evaluación y comparación de la capacidad de los procesos de TI Basado en modelo PDCA Deming Board briefing...describe lo que los consejos de dirección deberían hacer para supervisar efectivamente el gobierno corporativo Todo el dominio ME cubre la medición del desempeño, la efectividad del control interno, conformidad con requisitos externos y la consecución de un eficaz gobierno corporativo
73
COMPARATIVA DE MODELOS
Tabla 7. Relaciones COBIT-ISO 38500
3.3. Cobit y PMBOK Formalmente, PMBOK no es un estándar orientado hacia el Gobierno TI, sino hacia la gestión de los proyectos, bien en el ámbito de las Tecnologías de la Información o en cualquier otro sector. Sin embargo, como hemos referido en el capítulo anterior, los proyectos se enmarcan normalmente en programas y porfolios, que son utilizados por las organizaciones para implementar sus estrategias corporativas y, por ende, sus estrategias en el ámbito de las TICs, Asimismo, los proyectos suelen ser los marcos en los que se concretan las inversiones de la organización, incluyendo aquellas específicas de las TICs, con lo que es evidente la repercusión de las prácticas de la gestión de los proyectos en el Gobierno TI de las organizaciones. Por otro lado, COBIT no es un estándar de gestión de proyectos, aunque sí identifica la gestión de proyectos como un proceso TI. Si analizamos COBIT encontramos cinco procesos comunes con PMBOK: Administrar la inversión en TI (PO5): PMBOK trata en los procesos del área del conocimiento Gestión de costes del proyecto los aspectos relativos a la elaboración y seguimiento del presupuesto, gestión de costes de recursos y gestión financiera del proyecto.
Administrar la Calidad (PO8): La Gestión de la calidad uno de los procesos de Cobit en el que se establece como objetivo de control la creación de un sistema de administración de la calidad basados en procesos y estándares probados
74
COMPARATIVA DE MODELOS
para garantizar la mejora continua y medible de la calidad de los servicios prestados en TI.
PMBOK cubre parcialmente este objetivo en lo que se refiere al ámbito de los proyectos ya que cubre los procesos necesarios para planificar, dar seguimiento, controlar y garantizar que se cumpla con los requisitos de calidad
del
proyecto.
Es una coincidencia parcial en cuanto al ámbito de aplicación y será más coincidente en tanto que la cultura de la organización esté más orientada hacia los proyectos y menos hacia una estructura funcional del trabajo.
Evaluar y administrar riesgos de TI (PO9): Al igual que en el caso anterior, para COBIT el ámbito de la Gestión de riesgos es global a la organización en tanto que cubre la creación y mantenimiento de un marco de administración de riesgos.
PMBOK cubre únicamente la gestión de riesgos del proyecto, si bien es conveniente apuntar que en general es en los cambios (organizativos, técnicos, etc) en donde la organización puede verse sometida a mayores riesgos. Un análisis de amenazar y vulnerabilidades y de sus impactos sobre la organización en los proyectos contribuye decisivamente en la administración global de riesgos para la organización.
Administrar Proyectos (PO10): COBIT propone este proceso con el fin de establecer un programa y un marco de control para la administración de todos los proyectos de TI. En el caso de PMBOK, este objetivo está implícito y se referencian las mejores prácticas para su consecución.
75
COMPARATIVA DE MODELOS
Por lo tanto, hay concordancia de propósitos entre ambas normas ya que mientras COBIT establece qué debe hacerse para garantizar la Gobernabilidad TI, PMBOK indica cómo hacerlo.
Adquirir recursos de TI (AI5): Este proceso es el que define COBIT con el fin suministrar a la organización recursos TI, incluyendo personas, hardware, software y servicios. Esto requiere de la definición y ejecución de los procedimientos de adquisición, la selección de proveedores, el ajuste de arreglos contractuales y la adquisición en sí. El hacerlo así garantiza que la organización tenga todos los recursos de TI que se requieren de una manera oportuna y rentable PMBOK trata estos aspectos en los procesos de Gestión de los Recursos Humanos y Gestión de Adquisiciones aunque, al igual que en los casos anteriores, en el marco de los proyectos.
La siguiente figura resume la concordancia de procesos entre ambas normas:
76
COMPARATIVA DE MODELOS
Procesos Cobit 1
2 Definir la arquitectura de la información
Definir Comunicar las Determinar la Administrar la procesos, aspiraciones y dirección inversión en organ. y relac. la dirección de tecnológica. TI. de TI. la gerencia.
3
4
5
Administrar recursos humanos de TI. Instalar y acreditar soluciones y cambios
Planificación y organización
PO
Definir el plan estratégico de TI.
Adquisición e Implementación
AI
Identificar soluciones automatiz.
Adquirir y mantener el software aplicativo
Adquirir y mantener la infraestruct. tecnológica
Facilitar la Adquirir operación y el recursos de TI uso
Soporte y Entrega
DS
Definir y admin. niveles de servicio
Administrar servicios de terceros
Administrar desempeño y capacidad
Garantizar la continuidad del servicio
Monitorear y evaluar el
Monitorear y evaluar el control interno
Garantizar Proporcionar cumplimiento gobierno de TI regulatorio
Monitorización
ME desempeño de TI
Garantizar la seguridad de los sistemas
6
Administrar cambios
7
Educar y Identificar y entrenar a los asignar costos usuarios
8
9
10
Administrar calidad.
Evaluar y administrar riesgos de TI
Administrar proyectos.
Administrar la mesa de Administrar la Administrar servicio y los configuración los problemas incidentes
11
12
13
Administrar los datos
Administrar el ambiente físico
Administrar las operaciones
Procesos Cobit cubiertos por PMBOK 1
2
3
4
5
Planificación y organización
PO
Administrar la inversión en TI.
Adquisición e Implementación
AI
Adquirir recursos de TI
Soporte y Entrega
DS
Monitorización
ME
6
7
8
9
10
Administrar calidad.
Evaluar y administrar riesgos de TI
Administrar proyectos.
11
12
Ilustración 29. Comparativa de procesos Cobit y procesos PMBOK
77
13
COMPARATIVA DE MODELOS
3.4. Cobit e ITIL Si bien no se había planteado como un objetivo inicial de este trabajo, creemos conveniente clarificar la relación entre ITIL y COBIT, principalmente porque muchas organizaciones del sector público han emprendido durante los últimos años iniciativas de implantación de las buenas prácticas ITIL. En este punto, es necesario tomar una decisión sobre con qué versión de ITIL realizaremos la comparativa. Desde un punto de vista académico la respuesta evidente debiera ser la versión 3 de ITIL, que es la más reciente. Sin embargo, es propósito de este estudio la aplicación práctica de los contenidos desarrollados. En este sentido, las no muy numerosas iniciativas reales de implantación de las buenas prácticas de ITIL en organismos del sector público se han realizado teniendo en cuenta la versión 2 de ITIL. Esto es debido a que los impulsores de estas iniciativas han sido los propios departamentos de TI, que han visto la oportunidad de mejorar sus procesos más críticos (Gestión de incidencias y problemas, Gestión de la configuración, Gestión del cambio, etc). Por todo ello, vamos a elegir ITIL V2 como la versión base con la que establecer la comparación. Si nos fijamos en los procesos de ITIL, existe una correspondencia con los siguientes procesos de COBIT: Determinar la dirección tecnológica (PO3): Este proceso de COBIT indica la necesidad de determinar la dirección tecnológica para dar soporte al negocio, lo que requiere la creación de un plan de infraestructura tecnológica y un comité de arquitectura. El plan debe incluir las actuaciones ante contingencias y la orientación para la adquisición de recursos tecnológicos.
No hay una gran coincidencia entre este proceso COBIT y los procesos ITIL. Sí hay una coincidencia, pero podemos decir que más en el espíritu que en la letra. Sin embargo, hemos querido reflejar esta relación porque ITIL es el primer marco de referencia que se apoya en la planificación, establecimiento de objetivos, medición del rendimiento y mejora continua para un mejor control de las TICs. De hecho, parte de los procesos de COBIT están claramente basados en ITIL. 78
COMPARATIVA DE MODELOS
Definir los procesos, organización y relaciones de TI (PO4): La organización TI debe definirse tomando en cuenta los requerimientos de personal, funciones, delegación, autoridad, roles, responsabilidades y supervisión. Esta organización debe estar incrustada en un marco de procesos TI para asegurar la transparencia y control.
ITIL identifica varios de los procesos necesarios en cualquier organización TI y facilita la asignación de responsabilidades para llevarlas a cabo, a la vez que indica cómo deben realizarse los procesos de acuerdo a las mejores prácticas.
Administrar la inversión de TI (PO5): Cada organización TI debe establecer un marco de trabajo para administrar las inversiones en TI abarcando el estudio de costos, beneficios, prioridades del presupuesto y monitorización de los gastos de forma que sea posible demostrar el valor de las inversiones para el negocio.
ITIL cubre estos aspectos en su proceso de Gestión Financiera, en el que aborda cómo planificar y ejecutar los objetivos
de negocio, promoviendo la
Gestión de la infraestructura por medio del uso eficaz y económico de los recursos. Para ITIL se trata de decisiones estratégicas en la definición y provisión de los servicios. Es en los procesos del grupo de procesos Administrar e implantar y en el grupo de procesos Entregar y dar soporte de COBIT en los que se da una mayor coincidencia entre ambos marcos, como veremos a continuación:
Facilitar la operación y el uso (AI4): El conocimiento sobre los sistemas TIC debe estar disponible, lo que requiere la generación de documentación y manuales para usuarios y para TI. Asimismo, debe procurarse el adiestramiento de los usuarios y de la organización en general en el uso y operación correcta de las aplicaciones y sistemas de información.
ITIL establece el Service Desk como único punto de contacto para todas las necesidades de servicio de los usuarios de la organización. Es la parte d ela organización encargada de transmitir la información y la formación a los usuarios 79
COMPARATIVA DE MODELOS
en el uso de las aplicaciones y sistemas de información. Todos los procedimientos y usos de los sistemas deben documentarse y hacerse llegar a los interesados. Administrar cambios (AI6): Todos los cambios relacionados con la infraestructura y las aplicaciones dentro del ambiente de producción deben administrarse formal y controladamente. Los cambios se deben registrar, evaluar y autorizar de manera previa a la implantación y revisar los resultados después de esta.
La Gestión de cambios es, como hemos visto, uno de los procesos claves de ITIL y actúa en conjunción con la gestión de configuración para asegurar un inventario fiable de los activos TI de la organización y un control del ciclo de vida de estos, garantizando los objetivos de control del proceso tal y como ha sido definido en COBIT.
Instalar y acreditar soluciones y cambios (AI7): Una vez completado el desarrollo de los nuevos sistemas, deben realizarse pruebas en un ambiente dedicado con datos de prueba relevantes, definir las instrucciones de migración al entorno de producción
y
realizar
una
revisión
post-implantación.
Se corresponde con los procesos Gestión de la entrega y gestión de cambios de ITIL en los que se tratan profundamente los procedimientos de pruebas de soluciones y de paso a producción.
Definir y administrar niveles de servicio (DS1): Es el proceso que permite la identificación de los requerimientos de servicio, permite establecer los acuerdos de nivel de servicio (SLAs) y monitoriza su cumplimiento.
Es clara la influencia de la Gestión del servicio de ITIL en la definición de las objetivos de este proceso COBIT. ITIL no solo subscribe estos objetivos , sino que presenta
las mejores prácticas conocidas para llevarlo a cabo.
Administrar servicios de terceros (DS2): En numerosas ocasiones, las organizaciones deciden apoyarse en terceros para proporcionar el servicio demandados por sus clientes internos y externos. Este ejercicio requiere la gestión del establecimiento de las relaciones bilaterales con los proveedores de 80
COMPARATIVA DE MODELOS
servicios tercerizados y la monitorización de la prestación del servicio para verificar
y
asegurar
su
cumplimiento.
No existe en ITIL V2 un proceso específico para la gestión de servicios tercerizados, si bien todo lo que aplica a la gestión del servicio y los demás procesos es también de aplicación para los servicios externalizados. Hay, por lo tanto, una coincidencia parcial.
Administrar desempeño y capacidad (DS3): Una correcta provisión del servicio requiere una monitorización del desempeño así como una vigilancia de la capacidad de los sistemas, estableciendo no solo los mecanismos de monitorización, sino los planes necesarios para prever las necesidades y realizar una
entrega
del
servicio
funcional
y
a
tiempo.
Se corresponde con los procesos ITIL Gestión del rendimiento y Gestión de la Capacidad, dentro de lo que se denomina Entrega o Provisión del Servicio.
Garantizar la continuidad del servicio (DS4): Hoy en día es necesario brindar continuidad en los servicios TI, lo que requiere desarrollar, mantener y probar planes de contingencia TI.
ITIL pone su foco en garantizar la continuidad de los servicios, es decir, en administrar la capacidad de la organización para continuar ofreciendo el nivel acordado de los servicios TI, incluso en el caso de una interrupción del negocio.
Garantizar la seguridad de sistemas (DS5): Un plan de seguridad de TI es necesario para garantizar la confidencialidad, integridad y disponibilidad de los sistemas de información, identificando las vulnerabilidades y amenazas de seguridad y proporcionando mecanismos de monitorización, detección, reporte y corrección de los incidentes de seguridad.
ITIL no trata de manera profunda los aspectos de seguridad de los sistemas de información, pero los propios procesos de ITIL permiten garantizar mejor la
81
COMPARATIVA DE MODELOS
disponibilidad e integridad de los datos, con lo que hay una coincidencia parcial entre ambos marcos de trabajo.
Identificar y asignar costos (DS6): COBIT también establece la necesidad de establecer un mecanismo justo y equitativo de asignar costos de TI al negocio, lo que permitirá una mejor toma de decisiones sobre las inversiones TI.
El proceso de Gestión Financiera de ITIL, por su parte, trata sobre cómo implementar una contabilidad exacta de servicios TI y atribuirlos a clientes o servicios, mejorar confianza en presupuestos, facilitar la toma de decisiones sobre inversiones, realizar un control y una gestión financiera de recursos, clasificando los costes y operando el departamento TI como una unidad de de negocio. Administrar la mesa de servicio y los incidentes (DS8): Es necesario para responder de manera oportuna y efectiva a las consultas y problemas de los usuarios finales. Se corresponde con lo que en ITIL son los procesos de Gestión de niveles de servicio, Gestión de incidentes y con la función del Service Desk.Hay una coincidencia completa entre COBIT e ITIL.
Administrar la configuración (DS9): Debe garantizarse la seguridad de las configuraciones hardware y software, lo que implica disponer de un repositorio de configuración completo y confiable. Está muy relacionado con la gestión del cambio, en tanto que los cambios alteran las configuraciones base.
En ITIL, la Gestión de la configuración y su repositorio, la CMDB, son el nucleo central del soporte y la provisión de servicios TI.
Administrar los problemas (DS10): Persigue como objetivo la correcta administración
de
problemas,
incluyendo
la
identificación,
clasificación,
escalación, resolución y cierre de problemas.
Se corresponde con el proceso de Gestión de problemas en ITIL.
82
COMPARATIVA DE MODELOS
Administrar los datos (DS11): La información es el recurso más valioso de la organización. Deben establecerse mecanismos para la administración, respaldo y recuperación de los datos de la organización.
No hay correspondencia con algún proceso concreto de ITIL aunque, como ocurría con la gestión de la seguridad, los procesos ITIL permiten un mayor control de los sistemas TI y de los datos que se soportan.
La siguiente figura muestra de manera visual la correspondencia entre las buenas prácticas ITIL y el marco de referencia COBIT. Esta relación no es de solapamiento en tanto que el objetivo de COBIT es identificar qué debe hacerse, mientras que en ITIL se muestra la mejor manera de realizarlo de acuerdo a las mejores prácticas identificadas. En este sentido, ITIL y COBIT se complementan perfectamente.
Procesos Cobit cubiertos por ITIL 1
2
3
4
5
Planificación y organización
PO
Definir Determinar la Administrar la procesos, dirección inversión en organ. y relac. tecnológica. TI. de TI.
Adquisición e Implementación
AI
Facilitar la operación y el uso
Soporte y Entrega
DS
Monitorización
ME
Definir y admin. niveles de servicio
Administrar servicios de terceros
Administrar desempeño y capacidad
Garantizar la continuidad del servicio
Garantizar la seguridad de los sistemas
6
7
Administrar cambios
Instalar y acreditar soluciones y cambios
Identificar y asignar costos
8
9
10
11
Administrar la mesa de Administrar la Administrar servicio y los configuración los problemas incidentes
Ilustración 30. Correspondencia entre ITIL y COBIT
Nota: Los procesos con un menor grado de coincidencia se han marcado con un color más claro.
83
COMPARATIVA DE MODELOS
3.5. Cobit e ISO 17799 Del estudio de las metodologías y buenas prácticas en uso en el ámbito de las tecnologías de la información creemos necesario al menos hacer una referencia a los estándares en uso sobre la seguridad de los sistemas de información. Aunque no se había planteado como objetivo inicial, no se puede hablar de Gobierno TI sin referirse a la seguridad de los activos que soportan los sistemas de la información. Una parte de los objetivos del Gobierno TIC es garantizar que las tecnologías de la información proporcionan valor al negocio. La otra parte está referida a evitar riesgos a la organización, máxime cuando existe una creciente dependencia de todas las actividades de la organización en las TIC. Por ello, es necesario introducir de manera global el análisis de riesgos y los mecanismos de securización de los activos – materiales o no – sobre los que se apoyan las actividades del negocio. En este sentido la ISO 17799 y su evolución en el conjunto de normas ISO 27000 son la referencia universal y cubren gran parte de los objetivos de aseguramiento indicados en la norma ISO 17799. Muchas organizaciones han puesto en marcha iniciativas de conformidad con esta norma, lo que facilita la adopción de mecanismos de Gobierno TI, basados en COBIT o en otros marcos de referencia. Se muestra a continuación la relación de procesos COBIT cubiertos en la norma ISO 17799.
84
COMPARATIVA DE MODELOS
Procesos Cobit cubiertos por ISO 17799 1
2
3
4
Planificación y organización
PO
Definir la arquitectura de la información
Adquisición e Implementación
AI
Adquirir y mantener el software aplicativo
Adquirir y mantener la infraestruct. tecnológica
Facilitar la operación y el uso
Soporte y Entrega
DS
Administrar servicios de terceros
Administrar desempeño y capacidad
Garantizar la continuidad del servicio
Monitorización
Monitorear y evaluar el
ME desempeño de TI
Monitorear y evaluar el control interno
Definir Determinar la procesos, dirección organ. y relac. tecnológica. de TI.
5
Garantizar la seguridad de los sistemas
6
7
Comunicar las aspiraciones y la dirección de la gerencia.
Administrar recursos humanos de TI.
Administrar cambios
Instalar y acreditar soluciones y cambios Educar y entrenar a los usuarios
8
9
10
11
12
13
Administrar los datos
Administrar el ambiente físico
Administrar las operaciones
Evaluar y administrar riesgos de TI
Administrar la mesa de Administrar la servicio y los configuración incidentes
Proporcionar gobierno de TI
Ilustración 31. Cobit vs. Iso 17799
85
4
Gobierno TI en el Sector Público
GOBIERNO TI EN EL SECTOR PUBLICO
4.1. Introducción. En éste capítulo, vamos a definir las organizaciones tipo sobre las que vamos a centrar este estudio. Para ello, se definirá el concepto de Sector público, se concretará el subconjunto de organizaciones de este sector que reúnen unas características comunes en cuanto a procedimientos, normativa aplicable, estructuras organizativas etc, y que serán en las que centraremos el foco de nuestro estudio. Como caso general, se describirán las características organizativas de un departamento ministerial típico, particularizando para la Seguridad Social ya que, como hemos comentado anteriormente, aunque es propósito de este estudio el definir un modelo de gobernabilidad TI para las diferentes organizaciones del Sector público, es también un objetivo perseguido el que dicho modelo se aplique en la Secretaría de Estado de la Seguridad Social , en concreto, en la GISS.
4.2. Definición del Sector Público Desde un punto de vista formal y de acuerdo a la definición normativa (7), forman parte del Sector Público: a) La Administración General del Estado. b) Los organismos autónomos dependientes de la Administración General del Estado. c) Las entidades públicas empresariales, dependientes de la Administración General del Estado, o de cualesquiera otros organismos públicos vinculados o dependientes de ella. d) Las entidades gestoras, servicios comunes y las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social en su función pública de colaboración en la gestión de la Seguridad Social, así como sus centros y entidades mancomunados. e) Las sociedades mercantiles estatales, definidas en la Ley de Patrimonio de las Administraciones Públicas.
87
GOBIERNO TI EN EL SECTOR PUBLICO
f) Las fundaciones del sector público estatal, definidas en la Ley de Fundaciones. g) Las entidades estatales de derecho público distintas a las mencionadas en los párrafos b) y c) de este apartado. h) Los consorcios dotados de personalidad jurídica propia (…). Sin embargo, desde un punto de más conceptual, podemos visualizar el sector público Español en contraposición con el sector privado en la siguiente figura:
Sector Público Fuerzas Armadas Entidades Públicas Empresariales
Sector Educación Seguridad Social Agencias Tributaria
Sociedades públicas mercantiles
Ayuntamientos
Con ánimo de lucro
Sin ánimo de lucro ONGs
Empresas Universidades privadas
Fundaciones
Entidades Financieras
Sector Privado Ilustración 32. Sector Público vs. Sector privado
A lo largo de este documento, nos centraremos en la organizaciones del Sector publico sin ánimo de lucro, ya que revisten una casuística común (organización, procedimientos, legislación aplicable, etc) que las diferencia de aquellas cuyo objetivo principal es la consecución de beneficios.
88
GOBIERNO TI EN EL SECTOR PUBLICO
4.3. Estructura General de un Ministerio. En esta sección, se revisa la estructura general de un departamento ministerial para identificar la estructura típica de gestión del mismo y encuadrar la función TIC y su ámbito de influencia. Normalmente, cada Ministerio dispone de una unidad con rango de Subsecretaría que tiene a su cargo las labores administrativas, técnicas y la coordinación o vinculación del ministerio con los servicios públicos u otros organismos estatales. Por lo general son autoridades de confianza política y su nombramiento o remoción depende del jefe de gobierno o del correspondiente Ministro. Esta unidad suele agrupar unidades con rango de Direcciones Generales y de Subdirecciones Generales. Por lo habitual, una de estas Subdirecciones tiene encomendadas las funciones relativas a las Tecnologías de la Información y de las Comunicaciones (TIC). Su ámbito de actuación suele ser el de la propia Subsecretaría Si el Ministerio es suficientemente grande, pueden existir otras unidades con rango de Secretaría general e incluso como Secretaría de Estado que funcionan de manera autónoma a la Subsecretaría general en la mayoría de los aspectos. En este mismo sentido, suelen disponer de una unidad informática que se encarga de la Dirección TIC en el ámbito de la Unidad. El esquema general de la estructura organizativa se muestra en la siguiente figura:
89
GOBIERNO TI EN EL SECTOR PUBLICO
Departamento Ministerial
Dirección, Reglas Procedimientos
Secretaría General o de Estado
Subsecretaría General
Dirección General
Subdirección
Dirección General
Subdirección TIC
Dirección TIC
Ámbito de Gobierno TI Subdirección
Subdirección
Entidad Provincial
Entidad provincial
Ámbito de Gobierno TI Ilustración 33. Estructura General de un Ministerio
En ambos casos, las unidades informáticas tienen por lo general rango de subdirección general, lo que indica que la Dirección TIC no suele estar al mismo nivel de decisión de los responsables de las unidades a las que da servicio, lo que dificulta el alineamiento entre la organización y la dirección de las TICs.
4.4. La Seguridad Social. El caso de la Seguridad Social es un caso particular de lo explicado en el apartado anterior. Orgánicamente, se corresponde con una Secretaría de Estado dependiente del Ministerio de Trabajo e inmigración.
90
GOBIERNO TI EN EL SECTOR PUBLICO
Ministerio de Trabajo e Inmigración
Dirección, Reglas Procedimientos
Secretaría de Estado de la Seguridad Social
Subsecretaría General
Dirección General
Subdirección
Subdirección CPD
Dirección General TGSS, INSS, etc
GISS
Ámbito de Gobierno TI Subdirección
Subdirección
Dirección Provincial
Dirección Provincial
Ámbito de Gobierno TI Ilustración 34. Estructura de la Seguridad Social
Es conveniente destacar que la informática de la Secretaría de Estado de la Seguridad Social está dirigida desde un único organismo denominado Gerencia Informática de la Seguridad Social (GISS). Si bien la GISS tiene un carácter orgánico de Subdirección General, lo cierto es que reporta directamente al Secretario de Estado de la Seguridad Social y su titular participa en los consejos de Dirección de los organismos que lo conforman, en particular, en el consejo de Dirección de la Tesorería General de la Seguridad Social y en el Consejo Superior de las Tecnologías de la Información (COTEC), órgano de Gobierno de la Secretaría de Estado en las cuestiones relativas a las TIC. La COTEC es presidida por el Gerente de Informática y el él participan representantes de los organismos que conforman la Secretaría de Estado (TGSS, INSS, ISM, Intervención general de la Seguridad Social, MTIN, etc), lo que proporciona un mecanismo de alineamiento estratégico entre las unidades de gestión y la dirección de las TIC.
4.4.1. Estructura En la siguiente figura podemos ver con un mayor nivel de detalle la estructura actual del Ministerio de Trabajo e inmigración (MTIN) en el que está encuadrada la GISS.
91
GOBIERNO TI EN EL SECTOR PUBLICO
MINISTERIO DE TRABAJO E INMIGRACIÓN
SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL
DIRECCIÓN GENERAL DE ORDENACIÓN DE LA SEGURIDAD SOCIAL
GABINETE DE LA SECRETARÍA DE ESTADO
TESORERÍA GENERAL DE LA SEGURIDAD SOCIAL (TGSS)
INTERVENCIÓN GENERAL DE LA SEGURIDAD SOCIAL
INSTITUTO NACIONAL DE LA SEGURIDAD SOCIAL (INSS)
SERVICIO JURÍDICO DE LA ADMINISTRACIÓN SEGURIDAD SOCIAL
INSTITUTO SOCIAL DE LA MARINA (ISM)
GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL
Ilustración 35. Estructura detallada del MTIN
La Gerencia de Informática de la Seguridad Social, con dependencia orgánica y funcional de la Secretaría de Estado de la Seguridad social, fue creada por Orden Ministerial de 8 de enero de 1980 como Servicio Común sin personalidad jurídica; por Real Decreto 703/1998, de 24 de abril, pasó a depender orgánicamente de la Tesorería General de la Seguridad Social y, finalmente, por Real Decreto 1600/2004, de 2 de julio, queda nuevamente adscrita a la Secretaría de Estado de la Seguridad Social. Su misión es ser el instrumento tecnológico al servicio de la Seguridad Social para aproximar la gestión al ciudadano: Desde su creación, su labor ha ido destinada a mejorar las prestaciones informáticas a los usuarios, a través de la investigación, planificación y control de los sistemas existentes, así como su mejor aplicación y aprovechamiento, incorporando,
92
GOBIERNO TI EN EL SECTOR PUBLICO
siempre que el presupuesto lo permitía, adelantos tecnológicos que supusieran una mejor y más rápida atención al ciudadano. Sus valores, según su propia definición, se concretan en: Calidad para cumplir en tiempo y forma los requisitos del cliente de la manera más eficaz y eficiente, partiendo de previsiones realistas. Relación como capacidad para interactuar y mejorar la comunicación y conocimiento mutuo. Agilidad para la reacción ante imprevistos. Innovación como actitud proactiva para la detección/ aplicación de acciones futura. A continuación, se describe la estructura organizativa de la GISS para su futura referencia: GERENTE
Secretaría
UNIDADES ORIENTADAS AL CLIENTE DE GESTIÓN
Centro de Asuntos Externos Centro de Coordinación Centro de Servicios
UNIDADES DE SOPORTE
UNIDADES DE DESARROLLO
Centro de Tecnología
Unidades de Desarrollo de Entidades
C. de Calidad, Auditoria y Seguridad Administración de Recursos y Gestión de Adquisiciones
Ilustración 36. Estructura de la GISS
4.4.2. Sistema de Gestión de la Calidad La Gerencia de Informática de la Seguridad Social
93
GOBIERNO TI EN EL SECTOR PUBLICO
Procesos Estrategia de la Organización Comunicaciones Internas y Externas Gestión de Normas Recursos humanos Gestión Económica Contratación
Instalación y mantenimiento de Edificios Gestión de la Seguridad Gestión de la Calidad
Gestión de la Demanda Gestión del Servicio al Cliente Gestión de Proyectos
Desarrollo y mantenimiento de aplicaciones Soporte al Servicio Implantación del Servicio
Subprocesos Desarrollo del Plan estratégico de la organización Preparación de los planes de desarrollo TI Preparación del Plan de Comunicación Ejecución del Plan de Comunicación Definición de Normas Asignación Formación Elaboración del Presupuesto Control Presupuestario Gestión de la demanda de Inversiones y servicios TIC Gestión de la Ejecución del contrato Tramitación del Contrato Mantenimiento Análisis y gestión de riesgos Auditoría de la Seguridad Auditorías internas de la Calidad Definición y Seguimiento de métricas Gestión de las No conformidades Mantenimiento del sistema de calidad Planificación y revisión por la Dirección Gestión de la demanda de trabajos Creación y mantenimiento de ANS Gestión de la relación con el cliente Incorporación del proyecto Planificación del proyecto Ejecución del proyecto Cierre del Proyecto Gestión de la Cartera de proyectos Ejecución del desarrollo y mantenimiento Resolución de incidencias Puesta en marcha del servicio
Tabla 8. Mapa de Procesos y Subprocesos de la GISS
4.4.3. Cobit y el SGC de la GISS A modo de referencia, creemos conveniente incluir un gráfico con la correspondencia aproximada entre los procesos de la GISS y COBIT.
94
GOBIERNO TI EN EL SECTOR PUBLICO
No se trata de una correspondencia completa con las actividades d ela organización, en tanto que muchas de las tareas que se realizan, incluso de acuerdo a las mejores prácticas conocidas, no han sido explicitadas o procedimentadas.
Procesos Cobit cubiertos en la GISS 1 Planificación y organización
PO
Adquisición e Implementación
AI
Soporte y Entrega
DS
Monitorización
ME
2
Definir el plan estratégico de TI. Adquirir y mantener el software aplicativo Definir y admin. niveles de servicio
3
7
8
9
10
Definir Comunicar las Administrar la procesos, aspiraciones y inversión en organ. y relac. la dirección de TI. de TI. la gerencia.
4
5
Administrar recursos humanos de TI.
Administrar calidad.
Evaluar y administrar riesgos de TI
Administrar proyectos.
Adquirir recursos de TI
Instalar y acreditar soluciones y cambios
Garantizar la seguridad de los sistemas
6
Identificar y asignar costos
Administrar la mesa de servicio y los incidentes
11
12
13
Administrar las operaciones
Ilustración 37. Cobit Vs. SGC de la GISS
Nota: Los procesos con un menor grado de coincidencia se han marcado con un color más claro. Sin embargo, la relación nos permite identificar procesos que sería conveniente abordar para la mejora organizativa bien porque no se han puesto en marcha o por corresponder a tareas que, aunque se vienen realizando, no han sido explicitadas en el sistema de calidad. La inclusión dentro del SGC no es un acto exclusivamente formal, sino que permite encuadrarlo dentro de un sistema de monitorización y seguimiento que facilita la mejora continua de dichas actividades. COBIT podría enriquecerse con un sistema de ponderación de cada uno de los procesos tal y como se hace en el modelo de excelencia Europeo EFQM, de forma que se pudiera puntuar el grado de adecuación e una organización al modelo COBIT.
95
GOBIERNO TI EN EL SECTOR PUBLICO
4.5. Diferencias con el Sector Privado. En esta sección analizaremos las diferencias más significativas entre el sector público y el sector privado en lo relativo a las estructuras de gestión y de gobierno TI. En un principio, los procesos operativos de una organización del sector público no difieren significativamente de los una organización similar del sector privado. Por ejemplo, la Seguridad Social se asemeja mucho a cualquier empresa del Sector de los seguros. Sin embargo, cuando observamos las mismas organizaciones a nivel estratégico, nos damos cuenta de las diferencias en sus estructuras y de gobierno, tal y como se indica en la tabla siguiente:
96
GOBIERNO TI EN EL SECTOR PUBLICO
Sector Público
S Sector Privado
Políticos
Maximizar
Objetivos
ganancias
valor a
y los
accionistas Toma de decisiones
Rígida,
colegiada,
de Flexible, personal
arriba abajo. Alejados de realidad y del día a día de la organización. Provisión de fondos
Poco flexible
Flexible
Satisfacción trabajo
Media-baja
Alta
Responsabilidad
Baja,
personal (accountability)
política. Orientación a la
salvo
decisión Alta
decisión colegiada Procedimientos
Sistemas de
Rígidos.. Poco orientados Flexibles, adaptados a la a la eficacia.
necesidad y al mercado
Incipientes, mal definidos
Bien definidos
recompensas e incentivación Stakeholders
Políticos,
votantes, Principalmente accionistas.
lobbies, , etc.
Innovación
Poco incentivada
Ventaja competitiva
Tabla 9. Diferencias Sector Público y Privado
97
GOBIERNO TI EN EL SECTOR PUBLICO
Uno de las diferencias esenciales del sector público con respecto al sector privado tiene que ver con los grupos de interés a los que tiene que satisfacer la organización. En el caso de las organizaciones privadas, el más claro grupo de influencia son los accionistas; Todas las acciones del gobierno ejecutivo de la organización responden al objetivo de satisfacer al grupo de accionistas. En el caso del sector público, el número de grupos de influencia crece (políticos, votantes, población en general, empresarios, funcionarios, etc). Esta diferencia entre ambos sectores oculta otras más significativas y que tienen que ver con qué es importante para estos grupos de interés. En las empresas privadas, el motor principal de sus estrategias y actividades es obtener el mayor valor económico para los accionistas. En las organizaciones públicas el factor económico es importante, pero secundario con respecto al valor político y al servicio prestado. Esto hace muy difícil decidir en una organización pública si una actividad o iniciativa en TI aporta valor al negocio. Todo ello, unido a una menor flexibilidad y dinamismo en la toma de decisiones y en los procedimientos de gestión del sector público conforman las diferencias esenciales entre estos dos tipos de organizaciones. Sin embargo, a pesar de las diferencias indicadas, el sector público se mueve cada vez más dentro de un ambiente de constantes cambios económicos y políticos y sujeto a una dependencia creciente en las tecnologías que le sumergen el mismo clima turbulento que afecta a las empresas del sector privado. Este cambio no ha sido del todo aceptado en las organizaciones públicas, que miran con recelo los mecanismos de gestión utilizados en el mundo empresarial. Existe una preocupación de que el lenguaje del consumismo, la excesiva orientación hacia una gestión del rendimiento, la orientación hacia el mercado, etc, puedan afectar negativamente al sector público.
98
5
Propuesta de modelo de Gobierno para el Sector Público
Propuesta de modelo para el sector público
5.1. Introducción. En los anteriores capítulos se ha definido el alcance del concepto de Gobierno de las TIC y estableciendo su necesidad en las organizaciones en relación con el Gobierno corporativo, que es una de las actuales preocupaciones de las organizaciones públicas y privadas como forma de garantizar la salubridad de la organización ante los accionistas, ciudadanos y otros grupos de interés. Asimismo, se han descrito y analizado los principales marcos de Gobierno y las mejores prácticas de gestión que se aplican en el sector público. Dado que el modelo está dirigido a éste sector, se ha definido qué se entiende en el ámbito del modelo por sector público, identificando las características que le diferencian de organizaciones cuyo fin principal es el de conseguir un valor económico para los accionistas. A continuación, describiremos los elementos que conforman la propuesta de modelo para el sector público, apoyándonos para ello en las piezas y elementos que han sido descritos anteriormente. El modelo permitirá identificar un subconjunto de mejores prácticas que, aplicadas en conjunto y de la manera descrita, posibilitan el establecimiento de un Gobierno TI robusto sobre el que pueda asentarse la organización.
5.2. Características del modelo El modelo de Gobierno TI para el sector público debe cumplir con las siguientes características, que son deseables para garantizar su aplicabilidad: Basado en estándares y buenas prácticas conocidas. Simple de entender y de aplicar, para facilitar su implantación inicial. Flexible, para poder ser adaptado a diferentes organizaciones Centrado en las responsabilidades de Gobierno de las organizaciones y no en la gestión de las TIC y, sin embargo, compatible con estas. Debe tener en cuenta a los diferentes actores en las organizaciones públicas, desde la alta dirección hasta la propia organización TIC, que debe proporcionar los medios e indicadores sobre los que se sustenta el propio modelo de Gobierno. 100
Propuesta de modelo para el sector público
Debe facilitar los mecanismos de alineamiento estratégico entre las actividades de la unidad TIC y de la organización. Debe integrarse con las prácticas y herramientas de Gobierno corporativo de la organización. Debe disponer los medios necesarios para conocer si la organización está haciendo un uso eficiente y efectivo de los recursos TIC, en particular, en lo relativo a nuevos proyectos e inversiones.
5.3. Elementos del Modelo Como hemos indicado, el Gobierno TI es un concepto rico y complejo y no existe una única aproximación para dotar a una organización de un mecanismo único que garantice conseguir los objetivos de Gobierno TI deseados. Por el contrario, la mayor parte de las organizaciones ponen en marcha una serie de iniciativas y mecanismos que, de forma conjunta, permiten aproximarse a los objetivos perseguidos. Entre estos mecanismos, hemos seleccionado los que creemos más adecuados, teniendo cuidado de abarcar todos los aspectos necesarios, desde aquellos relativos a la actitud de la dirección y de las estructuras organizativas que soportan en Gobierno TI, hasta normas y prácticas más próximas a la Gestión de las TIC que del Gobierno TI, pero que son las piezas necesarias en las que deben apoyarse las iniciativas de Gobierno TI para alcanzar sus objetivos. En este sentido, nuestro modelo se basará en los siguientes elementos o aspectos diferenciados: Concienciación para la alta dirección Estructuras organizativas Alineamiento con el Gobierno corporativo Sistema de Gestión de procesos Monitorización del rendimiento e indicadores Soporte a la Gestión de proyectos
101
Propuesta de modelo para el sector público
5.3.1. Concienciación de la alta dirección Desde un punto de vista conceptual, no es posible elaborar un modelo efectivo de Gobierno para el sector público sin tener en cuenta los diferentes actores que toman parte en la consecución de una adecuada gobernanza TI. Entre los diferentes roles identificados, el de mayor importancia es el correspondiente a la alta dirección de la organización, personalizada en el sector público Español en Secretarios de Estado, Directores Generales, Directores de Agencias gubernamentales, etc, es decir, los más altos responsables de las unidades organizativas del sector público con competencias directas sobre las unidades TIC. Un gobierno TI débil, desprotegería a la organización frente a influencias externas y conduciría a resultados económicos y de servicio por debajo de las expectativas. Por este motivo, el modelo de Gobierno TI para el sector público debe contemplar como objetivo inicial la implicación directa y efectiva de estos altos cargos en el ejercicio de sus responsabilidades fiduciarias. Se propone la adopción del estándar ISO 38500 como medio de divulgación y asunción de las responsabilidades de Gobierno TI del directivo del sector público. Esta decisión se avala en que la ISO 38500 es una norma internacional, la primera que trata los aspectos de Gobierno TI como una responsabilidad de la alta dirección, lo que hace mucho más fácil su adopción por parte de las organizaciones.
5.3.2. Definición estructuras organizativas El modelo de Gobierno TI, si es aceptado por la alta dirección de la organización como su responsabilidad directa, debe tener reflejo en las estructuras organizativas. No se trata solo se reconocer el papel de la alta dirección en el Gobierno TI, sino de garantizar que la alta dirección juegue un papel de manera activa. De hecho, uno de los primeros indicadores de que la alta dirección de la organización ha asumido su responsabilidad en el control del las TICs es que se creen en las estructuras organizativas necesarias para ejercer el control
102
Propuesta de modelo para el sector público
deseado. Entre estas estructuras y mecanismos podemos significar las siguientes:
Comité de estrategia TI Formado por miembros propios y ajenos al comité de dirección de la organización, tiene como principal misión el aconsejar al consejo de administración o junta de accionistas sobre aspectos específicos en TI. Suele tener delegada la capacidad de elaborar la estrategia TI y presentarla al consejo de administración para su aprobación. Es un punto de encuentro y alineamiento entre la función TIC y el negocio En este sentido, es responsabilidad de este comité el asegurarse de que los asuntos de relevancia en las TICs son incluidos en la agenda de las reuniones del consejo y tratados adecuadamente.
Comités de impulso (Steering commitees) La implementación detallada de la estrategia es responsabilidad de la dirección ejecutiva, la cual puede apoyarse en comités específicos para el impulso de áreas específicas (estrategia, seguridad, auditorías, proyectos, etc).
Definición de responsabilidades Deben definirse las personas responsables (accountable) de las diferentes actividades TI. Esto se pondrá más adelante en relación con el establecimiento de un sistema de gestión basado en procesos y de la medición del rendimiento organizacional como mecanismo de apoyo al gobierno TI.
Función TI La propia estructura de la organización debe ubicar a la dirección de las TIC en el lugar adecuado para garantizar su relación con el negocio, a saber: Reporte del CIO directamente al más alto responsable de la unidad de negocio (Secretario de Estado, Director de la Agencia, etc). Participación del CIO en los comités de dirección de la organización. Rango de la unidad de TI similar a las correspondientes de las unidades de negocio. 103
Propuesta de modelo para el sector público
Creación de la figura de responsable TIC para las AAPP a fin de coordinar la estrategia TIC en todo el sector público.
*Chairman o presidente, con junta (CEO, CIO, etc)
5.3.3. Cuadro de mando integral para TI Como hemos comentado, el alineamiento con el negocio es un objetivo necesario para que las TICS proporcionen valor a las unidades de negocio. En este sentido, deben establecerse mecanismos que favorezcan este alineamiento y, para que sean efectivos, es conveniente sean mecanismos similares a los utilizados por las unidades de gestión para el gobierno corporativo. El mecanismo más común y conocido de soporte al gobierno corporativo es el Cuadro de mando integral (Balanced scorecard o BSC) desarrollado en los 90s por Kaplan y Norton (8) basado en la idea de que la evaluación de una organización no debería basarse únicamente en indicadores económicos, como era la costumbre, sino suplementarse a otras medidas relativas a la satisfacción del cliente, los procesos internos y la capacidad para innovar. Kaplan y Norton desarrollaron una estructura de 3 capas para estas perspectivas: misión, objetivos y medidas. El modelo del BSC se puede sintetizar en la siguiente figura:
104
Propuesta de modelo para el sector público
¿Cómo garantizar el dinero invertido por los accionistas?
Finanzas Objectivos Medidas ¿En qué debemos ser excelentes?
¿Cómo nos ven nuestros clientes?
Procesos internos de negocio
Clientes Objectivos Medidas
Objectivos
Aprendizaje y Crecimiento Objectivos
Medidas
¿Cómo podemos continuar mejorando y creando valor?
Ilustración 38. Cuadro de mando Integral
Dado que este modelo es conocido y utilizado en un gran número de organizaciones, proponemos la utilización de un modelo similar de control del Gobierno corporativo basándolo en un Cuadro de mando Integral TI particularizando las cuatro perspectivas:
105
Propuesta de modelo para el sector público
¿Cómo ve nuestra dirección corporativa al depto. IT?
Contribución a la corporación Objectivos Medidas
¿Son los procesos IT eficientes y efectivos?
¿Cómo ven los usuarios al depto. IT
Orientación hacia los usuarios Objectivos Medidas
Excelencia operacional Objectivos
Medidas
Orientación hacia el futuro Objectivos
Medidas
¿Están las TIC bien posicionada para afrontar los desafíos del futuro?
Ilustración 39. Cuadro de mando integral TI
El desarrollo de un modelo específico escapa del alcance de este trabajo, si bien se pueden encontrar referencias bibliográficas (9) para su desarrollo en una organización específica.
5.3.4. Sistema de gestión de procesos (SGP) El BCS permite tener una visión organizada y de alto nivel del estado del Gobierno TI en una organización. Sin embargo, esta visión tiene que estar apoyada en la consecución de unos objetivos concretos en las diferentes actividades TIC. Es en este punto en el que COBIT juega un papel central integrando la visión estratégica de la organización con las mejores prácticas de gestión de las TIC. COBIT nos brinda un marco idóneo para determinar las áreas de las TIC a las que hay que prestar atención y proporciona un conjunto de objetivos a conseguir en cada área, relacionándolos con indicadores clave de rendimiento en la consecución de dichos objetivos. 106
Propuesta de modelo para el sector público
Por lo tanto, el uso de COBIT en este modelo presentará las siguientes características: Selección de los procesos TIC críticos para garantizar una mejor gobernanza TI. Esto implica utilizar un subconjunto o conjunto reducido de procesos COBIT. Identificación de los objetivos de control (indicadores) asociados a los procesos seleccionados. Vinculación de los indicadores de los procesos COBIT con los indicadores de alto nivel de las cuatro perspectivas del cuadro de mando integral TI. Por su forma de construcción, estos indicadores del BSC TI estarán relacionados con el cuadro de mando integral de la organización. En el sentido descendente, los procesos COBIT seleccionados se apoyarán en las mejores prácticas de gestión de las TIC. En concreto, se propone la utilización de las metodologías y buenas prácticas siguientes: o
PMI para la Gestión de proyectos.
o
ITIL para la Gestión y entrega de los Servicios TIC.
o
ISO 17799 para la Gestión de la seguridad.
Selección de procesos COBIT Dado que Cobit es la base central del modelo e indicábamos que es necesario hacer una aproximación sencilla inicial para facilitar la adopción paulatina de las medidas de Gobierno TI, vamos a definir un subconjunto de procesos COBIT prioritarios de acuerdo a las siguientes premisas: Relevancia
del
proceso
dentro
del
propio
modelo.
Pueden identificarse los procesos más influyentes en el modelo haciendo un análisis de las entradas y salidas de cada uno de los procesos de Cobit hacia otros, lo que nos da un indicativo de su influencia sobre otros (las salidas o output del proceso van a un número elevado de procesos) y/o de la sensibilidad del proceso respecto a los demás procesos (en el caso de muchos inputs provenientes de otros procesos). 107
Propuesta de modelo para el sector público
Un estudio detallado de la relevancia de los inputs y outputs de los procesos Cobit puede verse en la bibliografía (10). P04, PO6, PO7, PO8 Procesos de vinculación de TI con la estrategia de la organización. Procesos clave en las mejores prácticas de soporte al servicio, a saber: Gestión de configuración, Gestión de cambios, Gestión de incidencias y problemas. Procesos clave para la gestión de inversiones y proyectos.
Teniendo en cuenta estas directrices, el modelo simplificado de Cobit agruparía los siguientes procesos: 1
2
Definir el plan estratégico de TI.
Planificación y organización
PO
Adquisición e Implementación
AI
Soporte y Entrega
DS
Definir y admin. niveles de servicio
Monitorización
ME
Monitorear y Monitorear y evaluar el evaluar el desempeño de control interno TI
Adquirir y mantener el software aplicativo
Procesos esenciales de Cobit 3
4
Determinar la dirección tecnológica.
Definir procesos, organ. y relac. de TI.
5
Comunicar las Administrar Administrar la aspiraciones y recursos inversión en TI. la dirección de humanos de TI. la gerencia.
6
7
Adquirir y mantener la infraestruct. tecnológica
Facilitar la operación y el uso
Adquirir recursos de TI
Administrar cambios
Garantizar la continuidad del servicio
Garantizar la seguridad de los sistemas
Identificar y asignar costos
8
9
10
Administrar calidad.
Evaluar y administrar riesgos de TI
Administrar proyectos.
Administrar la mesa de servicio y los incidentes
Administrar la Administrar los configuración problemas
Garantizar cumplimiento regulatorio
Ilustración 40. Procesos esenciales de COBIT
5.3.5. Gestión del rendimiento Hemos comentado anteriormente que, según el ITGI, el Gobierno TI se basa principalmente en proporcionar valor al negocio y en mitigar los riesgos derivados del uso de las TIC. Ambos aspectos del Gobierno TI solo pueden ser alcanzados si se conocer con certeza y precisión la evolución de las diferentes variables que inciden en los objetivos establecidos.
108
11
Propuesta de modelo para el sector público
El
modelo
propuesto
conlleva
implícitamente
la
definición,
motizorización y evaluación de indicadores de rendimiento y de indicadores claves de objetivos debido a las siguientes características: Está basado en un sistema de gestión de procesos. Cada proceso debe definir unos objetivos a alcanzar y unos indicadores que monitorizar. Los indicadores de nivel de proceso deben agruparse para conformar el cuadro de mando integral de TI con indicadores significativos para la alta dirección de la organización. A su vez, los indicadores del cuadro de mando integral TI se consolidan en el cuadro de mando integral corporativo en el que los indicadores de TI reflejan la ayuda de la unidad TIC en conseguir los objetivos de negocio. Todo el sistema en sí está soportado en la idea del ciclo de Demming (Plan-Do-Check-Act) que es la base de la mejora continua de las organizaciones.
5.3.6. Soporte a las mejores prácticas de gestión El modelo, tal y como ha sido diseñado, se integra perfectamente con las mejores prácticas de gestión de las tecnologías de la información. En concreto, apuesta decididamente por la utilización de los siguientes marcos: Cuerpo de conocimiento de administración de proyectos del Project Management Institute (PMBOK). Librería de Infraestructuras de Tecnologías de la información de la oficina de comercio del gobierno Británico. Sistema de Gestión de procesos para la mejora de la calidad, base de la mayor parte de los sistemas de Gestión de Calidad, como EFQM. Estándar internacional de ISO para los sistemas de Gestión de la Seguridad de la información, como ISO/IEC 17799, ISO 27002..
109
Propuesta de modelo para el sector público
5.3.7. Estructura del modelo Los diferentes componentes del modelo se combinan de la forma que se muestra en la siguiente figura:
Gobierno IT
ISO:38500 Cuadro de mando Integral para IT
Gestión IT
CobiT
BS7799 ISO:27001
ITIL/ ISO:20000
PMI
Operaciones IT y controles detallados Ilustración 41. Estructura del modelo de Gobierno TI
Como se ha ido indicando, la alta dirección de la organización debe ser concienciada para asumir sus responsabilidades en el Gobierno de las TIC, tal y como se expresa en el estándar ISO 38500. A fin de integrar el Gobierno TI como parte del Gobierno corporativo, se utilizará un cuadro de mando integral específico para TI en el que se alinearán las estrategias de TI con las marcadas por las unidades de negocio. Los indicadores del cuadro de mando integral se elaborarán a partir de los recogidos de un sistema de gestión basado en un subconjunto de procesos de COBIT. Para ello, han sido seleccionados los procesos esenciales para el buen gobierno TI en función de unos criterios generales previamente definidos. 110
Propuesta de modelo para el sector público
Este modelo se integrará con las prácticas de gestión más comunes como son ISO 17799/ISO 27002, ITIL y PMBOK.
5.3.8. Implantación del modelo El modelo deberá adaptarse a cada organización del sector público por medio de una iniciativa promovida por la alta dirección, gestionada como un proyecto que contemple al menos las siguientes etapas: 1. Definir los objetivos y establecer un equipo 2. Entender la relación necesaria para el alineamiento Negocio-IT 3. Analizar el estado actual y priorizar gaps 4. Especificar acciones. Gestionarlas como un proyecto. 5. Elegir y evaluar los criterios de éxito. 6. Implementar, medir y retroalimentar resultados El resultado de la iniciativa deberá ser reevaluado después de la implementación de acuerdo a las buenas prácticas para la mejora continua.
111
ACRONIMOS Y REFERENCIAS
Acrónimos ITIL (Information Technology Infrastructure Library): Es una definición de buenas prácticas que facilita la gestión de la calidad en la prestación del servicio. Definido inicialmente por el gobierno de Inglaterra, se ha convertido en el estándar de ISO 20000. CMDB (Configuration Management DataBase): Repositorio de información federada que relaciona los Elementos de Configuración (CI) de acuerdo con los servicios a los que da soporte. SLA (Service Level Agreement): es un acuerdo formal entre dos partes, el proveedor del servicio y receptor del servicio. Los contenidos que se definen en el contrato del servicio puede variar según la naturaleza de este pero suele incluir los elementos principales o cláusulas. IT (Information Technology): Asociado a las organizaciones con fuerte implementación de los servicios de Negocio sobre componentes tecnológicos. BSM (Business Service Management): Área dentro de las organizaciones TI encargada de la gestión de los Servicios de Negocio. Su función principal es verificar la calidad de los servicios de negocios que se proporciona a los clientes finales, así como la gestión de los costes por las incidencias provocadas. ITAM (Information Technology Asset Management): Área dentro de las organizaciones TI encargada de la gestión de Activos, incluyendo el inventario completo de los componentes electrónicos así como la gestión financiera de estos. CM (Configuration Management). Gestión de Configuración de los elementos tecnológicos. BPMN (Business Process Modeling Notation): Lenguaje XML de alto nivel para la definición de los procesos de Negocio. Se utiliza en herramientas que permiten ver los procesos de negocio como un diagrama de actividades secuenciales de forma visual. BPEL (Business Process Execution Language): Lenguaje XML de definición de los procesos de Negocios aplicados a Web Services. Este lenguaje define los servicios Web utilizados para cada uno de los procesos de negocio. CobiT (Control Objectives for Information and Related Technology): Definición de los par´qmetros a medir dentro de las organizaciones TI para controlar el correcto funcionamiento de los procesos internos TI. CEO, Chiel executive Officer, Directivo responsible de una organización en todos sus ámbitos. CIO, Chief Information Officer, Directivo responsable de las TIC en una organización
112
ACRONIMOS Y REFERENCIAS
CMMI (Control Objectives for Information and Related Technology): Definición de la metodología de desarrollo del software en una organización o departamento. CI (Configuration Item): Elemento de configuración. Cualquier elemento de una organización TI que participe en la prestación de los Servicios de la misma. Activo. Recurso (Asset): Cualquier cosa que tenga valor para la organización. Disponibilidad (availability): Propiedad de ser accesible y usable bajo demanda por una entidad autorizada. Confidencialidad (confidentiality): Propiedad que la información no esté disponible o pueda ser descubierta por usuarios no autorizados, entidades o procesos. Seguridad de la información: Preservación de la confidencialidad, integridad y disponibilidad de la información, en adición también de otras propiedades como autenticación, autorización, registro de actividad, no repudio y confiabilidad pueden ser también consideradas. Eventos de seguridad de la información: Ocurrencia de un evento identificado sobre un sistema, servicio o red, cuyo estado indica una posible brecha en la política de seguridad de la información o fallo en el almacenamiento de la misma, también cualquier situación previa desconocida que pueda ser relevante desde el punto de vista de la seguridad. Incidente de seguridad: uno o varios eventos de seguridad de la información, no deseados o inesperados que tienen una cierta probabilidad de comprometer las operaciones de la empresa y amenazan a la seguridad de la información. Sistema de administración de la seguridad de la información (ISMS: Information Security Management System): Parte de los sistemas de la empresa, basado en el análisis de riesgo de negocio, cuya finalidad es establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la información. El ISMS incluye las políticas, planes, actividades, responsabilidades, prácticas, procedimientos, procesos y recursos. Integridad: Propiedad de salvaguardar la precisión y completitud de los recursos. Riesgo residual: El riesgo remanente luego de una amenaza a la seguridad. Aceptación de riesgo: Decisión de aceptar un riesgo. Análisis de riego: Uso sistemático de la información para identificar fuentes y estimar riesgos. Valoración de riesgo: Totalidad de los procesos de análisis y evaluación de riesgo. Evaluación de riesgo: Proceso de comparar los riesgos estimados contra los criterios de riesgo establecidos o dados, para determinar el grado de significativo del riesgo.
113
ACRONIMOS Y REFERENCIAS
Administración del riesgo: Actividades coordinadas para dirigir y controlar las medidas necesarias para la observación del riesgo dentro de la organización. Tratamiento del riesgo: Proceso de selección e implementación de mediciones para modificar el riesgo. SGC: Sistema de Gestión de la calidad. EFQM: Modelo de excelencia Europeo. fue introducido en 1991 como el marco de trabajo para la autoevaluación de las organizaciones y como la base para juzgar a los concursantes por el Premio Europeo de la Calidad, el cual fue entregado por primera vez en 1992. Este modelo es el más ampliamente utilizado en Europa y se ha convertido en la base para la evaluación de las organizaciones en la mayoría de los premios nacionales y regionales de calidad en toda Europa.
114
ACRONIMOS Y REFERENCIAS
Referencias bibliográficas 1. Symons, Craig. COBIT Versus Other Frameworks: A Road Map To Comprehensive IT Governance. USA : Forrester Research, 2006. 2. Leading in Times of Transition: The 2010 Agenda. Gartner. USA : Gartner Executive Programs, Enero 2010. 3. Governing information Technology through COBIT. Guldentops, Erik. USA : Idea group, 2004. 4. ISO/IEC. Corporate governance of information technology. 2008. 5. PMI. Fundamentos para la dirección de proyectos - Guía PMBOK (Cuarta Edición). USA : Project Management Institute, 2008. 6. ITGI. Board Briefing on IT Governance. USA : s.n., 2009. 7. Gobierno de España. LEY GENERAL PRESUPUESTARIA 47/2003. BOE. 27 de noviembre de 2003, 284. 8. Using the Balanced Scorecard as a Strategic Management System. Robert S. Kaplan, David P. Norton. s.l. : Harvard Business Review , 1996. 9. Linking the IT Balanced Scorecard to the Business Objectives at a MajorCanadian Financial Group. Win Van Grembergen, Ronald Saull, Steven De Haes. s.l. : Idea Group, 2004. 10. Importance of Inputs/Outputs Within COBIT Processes. Joao Souza Neto, Helga Valesca O. da Fonseca, Ian Lawrence Webster. USA : Cobit Focus, Julio 2009, Vol. 3. 11. IT Governance and Implications for internal audits. Homburg, Ashley & Wall, James. 12. Public and private sector IT Governance: Identifying Contextual differences. Campbell, John, McDonald Craig & Sethibe Tsholofeo. 2, s.l. : Australasian Journal of information Systems, 2009, Vol. 16.
115
ACRONIMOS Y REFERENCIAS
13. Gobierno de las TIC ISO/IEC 38500. Ballester, Manuel. s.l. : ISACA JOURNAL, Vol 1, 2010. 14. ITGI. IT Governance Implementation Guide: Using COBIT and Val IT, 2nd Edition. USA : s.n., 2007. 15. IT Governance. How Top performers Manage IT decisions right for superior results. Peter Weill, Jeanne W. Ross. Boston, USA : Harvard Business School Press, 2004.
116
View more...
Comments