Embed Size (px)
Citation preview
INSTITUTO TECNOLÓGICO SUPERIOR DE LA
MONTAÑA
Carrera:
Ingeniería informática
Asignatura:
Fundamentos de gestión de servicios de TI
REPORTE DE INVESTIGACIÓN Unidad 3:
“Marcos de Gobierno de TI en las Empresas”
Docente:
M.T.I. Freddy Ramírez Villalobos
Integrantes del Equipo:
Verónica González Espinobarros
Olivia Ambrosio Martínez
Semestre:
7º semestre “A”
Tlapa de Comonfort gro, 7 de noviembre del 2014.
2
INTRODUCCION
Actualmente, la mayor parte de la inversión en infraestructura y nuevas
aplicaciones TI abarcan líneas y funciones del negocio. Algunas organizaciones
incluso llegan a integrar a socios y clientes en sus procesos internos.
El cambio que se realiza en el rol de las TI puede traer al máximo rendimiento a
una inversión en TI y usar la tecnología como un arma competitiva. De esta forma
se consigue que la actitud de TI frente al negocio pase de ser reactiva a ser
proactiva, anticipándose a las necesidades de la organización.
La gestión de los riesgos relacionados con TI está siendo extendida ahora como
una clave del gobierno de la empresa. El Gobierno de TI es fundamental para
mantener y hacer que crezca el negocio.
El principal objetivo del Gobierno de TI es extender las cuestiones y la importancia
estratégica de TI para permitir a la organización que mantenga sus operaciones e
implemente las estrategias necesarias para los proyectos y actividades futuras.
El Gobierno de TI provee las estructuras que unen los procesos de TI, los recursos
de TI y la información con las estrategias y los objetivos de la empresa.
3
GOBIERNO DE TI
El Gobierno de TI es una disciplina relativa a la forma en la que la alta dirección de
las organizaciones dirige la evolución y el uso de las tecnologías de la información,
para movilizar sus recursos de la forma más eficiente en respuesta a requisitos
regulatorios, operativos o del negocio.
Es parte integral del Gobierno corporativo y cubre liderazgo, estructuras
organizacionales y procesos que garantiza el que la organización de IT soporte y
extienda las estrategias y objetivos del negocio. El Gobierno de las TI es el
sistema a través del cual se dirige y controla la utilización de las TI actuales y
futuras.
El Gobierno de TI también es la responsabilidad del más alto nivel de una
pirámide que estaría basada en las operaciones de TI y la gestión de TI.
El gobierno de las TI provee las estructuras que unen los procesos de TI, los
recursos de TI y la información con las estrategias y los objetivos de la empresa.
Además, el Gobierno de TI integra e institucionaliza buenas (o mejores) prácticas
de planificación y organización, adquisición e implementación, entrega de
servicios y soporte, monitoriza el rendimiento de TI para asegurar que la
información de la empresa y las tecnologías relacionadas soportan sus objetivos
del negocio.
4
El núcleo de TI consta de dos responsabilidades principales, la entrega de valor al
negocio y mitigar los riesgos relacionados con TI.
La gerencia de la organización necesita ampliar sus responsabilidades de
gobierno de TI y proveer estructuras y procesos que aseguren que las
Tecnologías de Información son capaces de soportar los objetivos y estrategias de
la organización.
La implementación de gobierno de TI se lleva a cabo en diferentes condiciones y
circunstancias (Gobierno de TI) determinados factores como:
Ética y cultura de la organización y de la historia.
Leyes, regulaciones y guías vigentes, tanto internas como externas.
Misión, visión y valores de la organización.
La organización de sus roles y responsabilidades.
Intenciones estratégicas.
Las organizaciones deben cumplir con requerimientos de calidad, y de seguridad,
tanto para su información, como para sus activos. Para cumplir con esta
5
responsabilidad, así como alcanzar sus objetivos, la gerencia debe entender el
estado de sus propios sistemas de TI y decidir el nivel de seguridad y control que
deben proveer estos sistemas.
Su concepto es muy valioso ya que producto de una correcta implementación de
un modelo de Gobierno de TI, habilita a la organización receptora con las
herramientas necesarias para tomar decisiones óptimas respecto a la
realización de inversiones en tecnología considerando la dirección,
requerimientos del negocio y su comportamiento financiero.
Asimismo, otras ventajas importantes de la implantación de un modelo de
Gobierno de TI son:
Maximizar el valor agregado al negocio por parte de las inversiones en TI.
Monitorear y dar seguimiento de la realización del beneficio inicialmente
estimado para dichas inversiones.
Actualmente, Deloitte es considerado el líder en el diseño e implementación de
modelos de Gobierno de TI, debido a que cuenta con la más amplia experiencia
en la implantación de estos modelos en organizaciones de media y gran
envergadura, donde una mala inversión en TI puede tener un alto impacto en los
planes de negocio de la organización.
Contamos con un gran soporte en herramientas y metodologías probadas y
comprobadas que permiten acelerar las implantaciones de Modelos de Gobierno
de TI, tales como:
Enterprise Value Maps
Framework for information
IT Value Analytics
CIO Management Framework
Investment Portfolio Management Framework
IT Transformation Knowledge Base & Methodology
6
El gobierno es el responsable de establecer políticas y directrices de actuación
que recojan las inquietudes y cubran las necesidades de los ciudadanos. Las
administraciones públicas son las encargadas de asegurar que esas políticas se
implementen, ofreciendo los servicios correspondientes, asegurando el
cumplimiento de las normas establecidas, prestando apoyo, recogiendo
reclamaciones y propuestas.
El Gobierno TI es parte integrante del Gobierno Corporativo y como tal debe
centrarse en las implicaciones que los servicios e infraestructura TI tienen en el
futuro y sostenibilidad de la empresa asegurando su alineación con los objetivos
estratégicos.
La creciente importancia de los servicios TI para las empresas nos hace creer que
todos los aspectos relacionados con el Gobierno TI serán un hot topic en los
próximos años y que se realizarán importantes desarrollos en este terreno.
Características más relevantes del gobierno de TI
Alineamiento estratégico: Las TI deben diseñarse desde el principio para
apoyar y soportar la estrategia de la Organización, estableciendo prioridades
que enlacen claramente los planes de TI con los objetivos estratégicos de la
compañía (definidos en un Balance Scorecard o Cuadro de Mando Integral,
por ejemplo), identificando responsabilidades y tareas.
Entrega de valor: Se trata de ejecutar el plan estratégico definido
anteriormente, validando y demostrando que TI está efectivamente
ofreciendo beneficios a la organización. También habla de la optimización de
compras, pero aquí desde el punto de vista estratégico, es decir, no se trata
sólo de que el gasto sea óptimo, sino de validar si éste gasto es el necesario,
de forma razonada (ya hablaremos de ROI, mentiras y cintas de video).
7
Gestión de Recursos: Su objetivo es la definición y gestión eficiente de los
recursos de TI, lo que suele incluir aplicaciones, información, infraestructuras
y por supuesto personas. también se presta especial atención a algunos
elementos clave, como la optimización del conocimiento y de las
infraestructuras.
Gestión de Riesgos: Las principales regulaciones obligan (legalmente) a la
alta dirección a conocer el riesgo operativo al que se enfrenta la
organización, y de aceptar el riesgo residual que se decidan (afrontar las
consecuencias de que éste se materialice).
Medición del rendimiento: Trata de medir y conocer en todo momento el
estado y grado de implementación de la estrategia o plan definido, de
acuerdo a las cambiantes necesidades de la organización. Para ello se
deben monitorizar de forma regular elementos como el estado de los
proyectos, rendimiento de los procesos, uso de recursos y aspectos
económicos o entrega del servicio (típicamente a través de la gestión del
nivel de servicio y variables asociadas).
8
Principio Básico de Cobit
Marco referencial COBIT se refiere a que el enfoque del control en TI se lleva a
cabo visualizando la información necesaria para dar soporte a los procesos de
negocio y considerando a la información como el resultado de la aplicación
combinada de recursos relacionados con la Tecnología de Información que deben
ser administrados por procesos de TI.
COBIT ( Control Objectives for Information and related Technology, Objetivos de
Control para la Información y la Tecnología relacionada) es el modelo para el
Gobierno de la TI desarrollado por la Information Systems Audit and Control
Association (ISACA) y el IT Governance
Institute (ITGI). Independientemente de la realidad tecnológica de cada caso
concreto, COBIT determina, con el respaldo de las principales normas técnicas
internacionales, un conjunto de mejores prácticas para la seguridad, la calidad, la
eficacia y la eficiencia en TI que son necesarias para alinear TI con el negocio,
identificar riesgos, entregar valor al negocio, gestionar recursos y medir el
desempeño, el cumplimiento de metas y el nivel de madurez de los procesos de la
organización.
9
COBIT está orientado a los objetivos y al alcance del gobierno de TI, asegurando
que su marco de control sea integral, que esté alineado con los principios de
gobierno empresariales y, por lo tanto, que sea aceptable para los consejos
directivos, para la dirección ejecutiva, para los auditores y reguladores
Recursos y criterios de información del negocio
• Recursos de las tecnologías de información
1. Información
2. Aplicaciones
3. Infraestructura
4. Recurso Humano
Recursos de las tecnologías de información
• Información Los elementos de información en su más amplio sentido, (por
ejemplo, externos e internos), estructurados y no estructurados, gráficos, sonido,
etc.
• Aplicaciones Se entiende como sistemas de aplicación la suma de
procedimientos manuales y programados.
• Infraestructura Recursos para alojar y dar soporte a los sistemas de información,
las instalaciones, la tecnología para soporte TI. La tecnología cubre hardware,
software, sistemas operativos, sistemas de administración de bases de datos,
redes, multimedia, etc.
10
• Recurso Humano Habilidades del personal, conocimiento, conciencia y
productividad para planear, organizar, adquirir, entregar, soportar y monitorear
servicios y sistemas de información.
Criterios de información del negocio
• Efectividad :Se refiere a que la información relevante sea pertinente para el
proceso del negocio, así como a que su entrega sea oportuna, correcta,
consistente y de manera utilizable.
• Eficiencia: Se refiere a la provisión de información a través de la utilización
óptima (más productiva y económica) de recursos.
• Confidencialidad: Se refiere a la protección de información sensible contra
divulgación no autorizada.
• Integridad: Se refiere a la precisión y suficiencia de la información, así como a
su validez de acuerdo con los valores y expectativas del negocio.
• Disponibilidad: Se refiere a la disponibilidad de la información cuando ésta es
requerida por el proceso de negocio ahora y en el futuro. También se refiere a la
salvaguarda de los recursos necesarios y capacidades asociadas.
• Cumplimiento: Se refiere al cumplimiento de aquellas leyes, regulaciones y
acuerdos contractuales a los que el proceso de negocios está sujeto, por ejemplo,
criterios de negocio impuestos externamente.
• Confiabilidad: de la Información Se refiere a la provisión de información
apropiada para la administración con el fin de operar la entidad y para ejercer sus
responsabilidades de reportes financieros y de cumplimiento.
11
Metodologías y Normas para Gobierno de TI
Para un buen Gobierno de TI, éste debe apoyarse en un marco de estándares y
normas de comportamiento para garantizar que la unidad de TI soporte los
objetivos de negocio de la organización. A estas alturas del siglo XXI nadie duda
que la implantación de metodologías como ITIL, MOF o Six Sigma haya
contribuido a la mejora en la Gestión de TI. Año tras año vemos como cada vez
hay más empresas certificadas en normas de Gestión de Servicios de TI como
ISO-20000 o normas de Gestión de la Seguridad de la Información como ISO-
27000.
Fig. procesos y operaciones normativas ti
12
La primera norma internacional que trata sobre el concepto de Gobierno TI es
(ISO/IEC-38500). La norma busca asesorar a quienes tienen responsabilidades
sobre el correcto funcionamiento de las organizaciones, en relación al papel que
les toca jugar respecto de las TI , definiendo y detallando unos principios
generales para el buen Gobierno Corporativo de las TI: responsabilidad,
estrategia, inversión, conformidad, rendimiento y comportamiento.
Respecto a las metodologías, no existe una metodología unificada para la
Gobernanza de TI. Existen metodologías que ayudan y facilitan un buen Gobierno
de TI, destacando principalmente ITIL y CoBIT por los años que llevan
incorporando las mejores prácticas en Gestión y Gobierno de TI.
En la siguiente tabla se mencionan diferentes marcos de modelos de referencia.
CMMI (Capability Maturity Model Integration):Este modelo está basado en
el concepto de madurez de un proceso que se concreta a través de varios
estados que CMMI define de forma acumulativa, o sea, que el nivel superior
tiene características del nivel inferior ampliando ciertos aspectos. Los
niveles son:
1. Inicial: en donde no se dispone de un ambiente estable para el
desarrollo, más se confía en las habilidades del personal que en la
seguridad de los procesos.
2. Gestionado (Repetible): el proceso es gestionado sin uniformidad
donde dispone de ciertas técnicas propias de gestión que son utilizadas
discrecionalmente.
13
La relación con los subcontratistas y clientes es gestionada
sistemáticamente.
3. Definido: la organización ha definido procesos formales para las
diferentes actividades y que son utilizadas concurrentemente.
4. Gestionado de forma cuantitativa: la organización ha establecido
métricas para los principales elementos que gobiernan el proceso.
5. Optimizado: se gestionan la mejora continua de los procesos y se hacen
revisiones a las métricas.
ISO 27001 / BS 7799: Es el estándar de seguridad de la información, y está
basado en la creación de sistemas de gestión de la seguridad de la
información similar a los estándares de calidad .
La norma indica controles o grupos de controles codificados mediante un
sistema numérico y organizado por secciones. La norma establece la
necesidad de evaluar los riesgos correspondientes cuando se utilicen
servicios de outsourcing que puedan impactar en la seguridad de la
información.
ITIL (IT infraestructura library ):es un marco de trabajo basado en mejores
prácticas. En su nueva Versión 3 se centra en integrar las TI con el negocio,
incorporando mejores prácticas para el Gobierno TI y adoptando un punto
de vista más estratégico, reforzándolo con la ampliación de los procesos de
Estrategia de Servicio. Se ha convertido en un estándar de facto.
Su filosofía para el control del outsourcing puede resumirse en los
siguientes principios:
Implantar una política que regule como adquirir servicios y
selección de proveedores
Estar alerta para mantener el know-how dentro de la empresa.
Documentar todas las actividades desarrolladas por outsourcing
Mantener una relación estrecha y comunicación continua con el
proveedor para verificar las necesidades de servicio
14
Mantenimiento y monitoreo de los contratos con los proveedores,
con la finalidad de identificar las posibles mejoras en todos los
ámbitos
COBIT en su versión 4.1 es un marco de trabajo aceptado
internacionalmente como una buena práctica para el control de la
información TI y los riesgos que conllevan. Permite a los gerentes cubrir la
brecha entre los requerimientos de control, los aspectos técnicos y riesgos
de negocio. Realza la importancia en cuanto a regulaciones, estando
implantado en grandes empresas que cotizan en bolsa y prácticamente
imprescindible para las que cotizan en Wall Street.
También hay marcos de trabajo que tratan más específicamente algunos aspectos
relativos al Gobierno de las TI. Entre ellos cabe destacar:
Val IT que se concentra en la gestión del portfolio de iniciativas de TI para
generar valor a la organización y proveer un marco de trabajo para el
gobierno de las inversiones en TI.
RISK IT establece un marco de trabajo para las organizaciones para
identificar, gobernar y administrar los riesgos asociados a las iniciativas en
TI
Con el propósito de integrar o relacionar todos los marcos e iniciativas de Isaca
(Val IT, Risk IT, BMIS, ITAF y Board Briefing), así como conectar con el resto de
iniciativas y estándares aceptados en la comunidad TI (ITIL, ISO, etc.), se está
preparando CoBIT 5. Aunque, a priori, es una buena noticia la integración de los
diferentes marcos y metodologías, será difícil tener un único marco de trabajo que
nos sirva para todo, dada la complejidad de los aspectos de la Gobernanza de TI.
Deberemos esperar hasta principios del año que viene para poder evaluar todas
las novedades que aporta al Gobierno de TI el nuevo CoBIT 5.
Para identificar más factores por los que es necesario implementar gobierno
empresarial de TI utilizando COBIT, es necesario observar la naturaleza de la
empresa. Si su empresa no tiene la estructura de gobierno requerida para llevar a
cabo la tarea de administrar el valor de las TICS, entonces es probable que los
15
ingentes esfuerzos que usted y su equipo realicen serán en vano. Por lo general
las empresas incurren en la implementación de gobierno empresarial de TI por los
siguientes factores detonantes:
Regulaciones y leyes impuestas sobre la tecnología: En los sectores
regulados es común que se creen este tipo de reglamentos para asegurar
la calidad y permanencia en el mercado de las empresas del sector.
Cambios en la Gerencia de TI: Cuando se realiza un cambio en la
gerencia de TI, por lo general el consejo busca que se implemente un
marco de control para la gestión de TI.
Inquietud del consejo: Por inquietud del consejo de dirección también es
posible que se implemente el gobierno empresarial de TI, Aunque no es
muy frecuente, gracias a que ellos son quienes deben trazar la pauta en la
gestión del negocio y de TI.
Así también las empresas tienen ciertas debilidades que las obligan a
implementar gobierno empresarial de TI. Estas debilidades o puntos
dolorosos pueden ser:
Debilidades en la gestión de TI
Desconocimiento de la dirección general sobre los aspectos de TI
Falta de confianza hacia el departamento de TI
TI vista como un gasto en la empresa
Mala gestión del riesgo de TI
Proyectos relacionados con TI que no se terminan, y si terminan no lo
hacen a tiempo
16
17
Conclusión
La conclusión es que con la implementación de gobierno de ti en los corporativos
se desean que tengan mayor beneficio tanto como en la empresa como en el
mercado.
Los corporativos u organizaciones saben los riesgos que tienen sobre el gobierno
de ti y deberían aprovechar los beneficios del TI y es uno que tiene el más alto
nivel en una corporativa.
Hay varias modelos de referencia que son importantes para los corporativos entre
los mas destacados se encuentran el COBIT, ITIL, ISO/IEC-38500 y el CMMI
Marco referencial COBIT se refiere a que el enfoque del control en TI se lleva a
cabo visualizando la información necesaria para dar soporte a los procesos de
negocio y considerando a la información como el resultado de la aplicación
combinada de recursos relacionados con la Tecnología de Información que deben
ser administrados por procesos de TI.
18
Referencias
http://rockzalo.wordpress.com/2011/06/21/resumen-ejecutivo-cobit-4-1/
http://chaudun20102907024.blogspot.mx/2010_11_01_archive.html
http://queescobit.blogspot.mx/
http://es.slideshare.net/yessicagomezgutierrez/auditora-de-outsourcing-de-ti
