Gobernanza de Tecnologías de Información

Dr. Hugo A.
Banda Gamboa
Departamento de Informtica y Ciencias de Computacin
ESCUELA POLITCNICA NACIONAL
Introduccin
La gobernanza de TI constituye actualmente uno de los procesos clave en la gestin
organizacional con el apoyo de las TI. La gerencia de cualquier organizacin, sea o no con fines de lucro, est obligada a incorporar en su prctica de gestin el liderazgo, las estructuras organizacionales y los procesos que aseguren que las TI sustenten y extiendan las estrategias y objetivos organizacionales.
Dr. Hugo A. Banda Gamboa - 2010 2
Objetivos
Los objetivos de la presente unidad, son:
Explicar los conceptos y principios de la
gobernanza de TI en organizaciones del sector pblico y privado. Aplicar los fundamentos de la gobernanza de TI a los procesos de gestin organizacional. Analizar las principales ventajas asociadas con la correcta aplicacin de la gobernanza de TI en las organizaciones actuales.
Contenido
Gobernanza Corporativa Gobernanza de las TI Polticas y Procedimientos Planeacin Estrategia de las TI Gobernanza de la Seguridad de las TI Gestin del Riesgo Prcticas para Gestin de las TI Implementacin de la Gobernanza de las TI 9. Conclusin
1. 2. 3. 4. 5. 6. 7. 8.
Dr. Hugo A. Banda Gamboa 2010 4
GOBERNANZA CORPORATIVA
Dr. Hugo A. Banda Gamboa - 2010
Gobernanza Corporativa
Es un conjunto de polticas, estrategias,
procesos, regulaciones, responsabilidades y prcticas que afectan la forma en que una organizacin es dirigida, administrada y controlada. Son ejecutadas por la Junta Directiva y la Alta Gerencia, con el objetivo de:
Proveer direccin estratgica Asegurar el logro de los objetivos Asegurar que los riesgos se administran
adecuadamente Verificar que los recursos organizacionales se utilizan responsablemente

Estructura de la Gobernanza Corporativa

Proporciona los medios para que los objetivos y metas
corporativas sean especificados, logrados y monitoreados. Establece las reglas y procedimientos para la toma de decisiones en asuntos organizacionales. Se utiliza como medio para evaluar los resultados obtenidos, impulsar procesos de mejoramiento continuo y de motivacin organizacional. Define reglas para la gestin y el reporte de riesgos. Requiere que la organizacin tenga un sistema de control interno para monitorear el riesgo cuando se exploren nuevas formas innovadoras de mejorar las operaciones. La gobernanza corporativa incluye a los todos involucrados: inversionistas, directivos, gerentes, empleados, proveedores, clientes, entes reguladores y otros miembros de su entorno.
GOBERNANZA DE LAS TECNOLOGAS DE INFORMACIN
La Gobernanza de las Tecnologas de Informacin (TI)

Esta disciplina se deriva de la Gobernanza
Corporativa. Destaca la importancia de las TI en las organizaciones actuales y establece que:

La operacin y la gestin del riesgo de las TI deben
estar alineadas con estrategia corporativa . Las decisiones estratgicas relacionadas con las TI deben corresponder a la alta direccin en su conjunto y no recaer slo sobre los Gerentes de Informtica. Los proyectos de TI pueden salirse de control y afectar profundamente el desempeo organizacional.
Gobernanza de las TI: Definicin

Sistema mediante el cual el uso actual y futuro de las TI es direccionado y controlado. Incluye:
La definicin de polticas y estrategias para
la aplicacin de las TI en una organizacin. La gestin, desarrollo y evaluacin de planes para el buen uso de las TI en apoyo de los procesos organizacionales; y, El monitoreo continuo de los logros obtenidos.
Prctica de Gobernanza de las TI

La prctica de Gobernanza de TI en una organizacin, comprende el liderazgo, relaciones y procesos que aseguran que las TI:
Extiendan y fortalezcan el cumplimiento de las
estrategias y objetivos organizacionales. Den soporte, agreguen valor a los procesos, balanceen el riesgo y logren retorno de las inversin realizadas.
En esencia, la gobernanza de TI se preocupa de
dos aspectos:
La entrega valor por parte de TI a la organizacin; y,
La mitigacin de los riesgos asociados a las TI.
Procesos de la Gobernanza de TI
El Directorio y de la Alta Gerencia son responsables de la gobernanza de TI, lo cual involucra estructuras y procesos que dirigen la organizacin hacia el logro de sus objetivos.
1. Direccin y Control
2. Asignacin de Responsabilidades 3. Rendicin de Cuentas 4. Actividades de TI Efectivas

1. Direccin y Control
La alta gerencia provee direccin para implementar un cambio. Para establecer una direccin efectiva, la alta gerencia necesita entender el cambio proyectado. Adems, la alta gerencia instruye a los niveles inferiores para que ejecuten el cambio. El control asegura que el objetivo se alcanza y que no ocurren incidentes no deseados. A travs de un proceso de monitoreo se van midiendo el cumplimiento de objetivos, disposiciones y actividades. Esto genera informacin y elementos de comparacin para evaluar la efectividad y la eficiencia de la direccin.
2. Asignacin de Responsabilidades
A los directivos organizacionales les corresponde:
Establecer polticas, normas y procedimientos de
control interno. Asignar las responsabilidades especficas para el personal que se desempea en cada unidad funcional.
A su vez, el control interno especfico es
responsabilidad de cada uno dentro de una organizacin y debe ser parte explcita de la descripcin y asignacin de sus funciones. Por principio, el Gerente General (CEO) es el responsable final de todo el control interno.
3. Rendicin de Cuentas
La rendicin de cuentas est relacionada con la responsabilidad asignada. Se enfoca especficamente en alcanzar metas planificadas, contando con los recursos para hacerlo, ejerciendo autoridad para aprobar y tomar decisiones.
Es el resultado final de un conjunto de actividades, la responsabilidad no se puede delegar a nadie.
Varias personas pueden tener responsabilidad para la ejecucin de ciertas tareas y actividades, pero la autoridad que decide sobre los asuntos clave y aprueba la versin final es el responsable de que se materialice la rendicin de cuentas.
4. Actividades de TI Efectivas
No se trata simplemente de excelencia de TI, sino
de cumplir con los requerimientos de servicio y contribuir al logro de los objetivos estratgicos de la organizacin. Los procesos de TI se deben alinear con los objetivos y necesidades de la organizacin. El grado de alineamiento es un indicador de desempeo mucho ms efectivo que cualquier parmetro tcnico. Las actividades de TI son efectivas cuando existe una buena prctica de gobernanza de TI.
Auditora de la Gobernanza de TI
La auditora de la gobernanza de TI empieza al nivel ms alto de la organizacin, cruzando fronteras de divisiones, funciones o departamentos. El auditor debe confirmar que los trminos de referencia establecen: El alcance del trabajo, incluyendo una clara definicin de las reas funcionales y aspectos que sern cubiertos. La estructura del reporte, en el que los aspectos de la gobernanza de TI se identifican al nivel ms alto de la organizacin. Los derechos que tiene el auditor para acceder a la informacin.
Obligaciones del Auditor de TI

Desarrollar e implementar una estrategia de auditoria de TI, basada en riesgos de la organizacin, cumplimiento de estndares, directrices y mejores prcticas. Ejecutar procesos especficos para validar el grado de proteccin y control que tienen la TI y los sistemas organizacionales. Comunicar a los interesados los hallazgos emergentes, riesgos potenciales, resultados, opiniones y recomendaciones obtenidos en el proceso de auditora. Asesorar a los interesados en la Administracin de Riesgos y en las Prcticas de Control dentro de la organizacin, manteniendo la debida independencia.
Concepto de Auditora
Evaluacin sistemtica realizada a un objeto,
por parte de un sujeto competente e independiente, a fin de formarse una opinin e informar acerca del grado de concordancia que tiene el objeto con ciertos criterios preestablecidos. El objeto puede ser: procesos, productos, inventarios, sistemas, etc. Los criterios preestablecidos, pueden ser: existencia, idoneidad, cumplimiento, nivel de riesgo, etc.
Evaluacin de la Prctica de Gobernanza de TI

Revisar y evaluar el alineamiento de la funcin de los sistemas de
informacin, con la misin, visin, valores, objetivos y estrategias organizacionales. Verificar que la funcin de los sistemas de informacin tiene una declaracin clara acerca del desempeo esperado de las funciones organizacionales (efectividad y eficiencia) y evaluar su cumplimiento. Revisar y evaluar la efectividad de los recursos de sistemas de informacin y de los procesos de gestin del desempeo. Revisar y evaluar el cumplimiento de requisitos legales, ambientales, as como de los requerimientos de calidad, seguridad y fiabilidad de la informacin. Utilizar una metodologa basada en riesgos para evaluar la funcin de los sistemas de informacin. Revisar y evaluar el entorno de control de la organizacin. Revisar y evaluar los riesgos que podran afectar adversamente al entorno de los sistemas de informacin.
POLTICAS, PROCEDIMIENTOS Y CONTROL INTERNO
21
Polticas
Son documentos alto nivel que representan la filosofa corporativa de una organizacin y el
pensamiento estratgico de la alta gerencia y de los responsables de los procesos organizacionales. La gerencia debe crear un entorno positivo de control, asegurando la responsabilidad para formular, desarrollar, documentar, promulgar y controlar las polticas, cubriendo directivas y metas generales. La gerencia debera asegurarse que el personal afectado por polticas especficas reciba una explicacin completa para que comprenda su intencionalidad.
Procedimientos
Son documentos detallados que se derivan de las polticas para implementar el espritu o intensin de la poltica formulada.
Los procedimientos documentan procesos administrativos y operativos de la organizacin, as como los controles incorporados en los mismos.
Los procedimientos son formulados por la gerencia media como una traduccin efectiva de las polticas. Los procedimientos son ms dinmicos que sus respectivas polticas.
Control Interno
En Febrero de 2009, el Committee of Sponsoring
Organizations of the Treadway Commission (COSO), entreg la nueva Gua para el Monitoreo de Sistemas de Control Interno, que actualiza, ampla y clarifica los componentes de monitoreo publicados por ellos en 1992 en el Marco Integrado de Control Interno. La gua pretende asistir a las organizaciones para:
Identificar la existencia de monitoreo efectivo y utilizarlo para obtener el mximo beneficio. 2. Identificar y aplicar mejoras a monitoreo menos eficiente o inefectivo.
1.
Monitoreo y Gobernanza
COSO considera que si el monitoreo es apropiadamente diseado y aplicado, las organizaciones se benefician porque mejoran su capacidad de: 1. Identificar y corregir oportunamente problemas de control interno. 2. Producir informacin ms precisa y confiable para la toma de decisiones. 3. Preparar a tiempo reportes financieros confiables. 4. Estar en posicin de proveer certificaciones peridicas o evaluaciones precisas acerca de la efectividad del control interno.
El Marco de Trabajo de COSO

Establece controles internos que promueven
la eficiencia, minimizan el riesgo, aseguran la confiabilidad de los estados financieros y cumple con leyes y regulaciones.
26
Monitoreo Aplicado a Procesos de Control Internos
27
Modelo COSO para Monitoreo
28
PLANEACIN ESTRATGICA DE LAS TI
29
Planeacin Estratgica
Desde el punto de vista de las TI, la planeacin estratgica se relaciona con el direccionamiento de largo plazo (3 a 5 aos) que una organizacin desea tomar para utilizar la TI en el mejoramiento de sus procesos. Factores a considerar incluyen: Identificacin de soluciones de TI efectivas en costo para resolver problemas y aprovechar oportunidades. Desarrollo de planes de accin para identificar y adquirir los recursos necesarios. Alineamiento y consistencia con los objetivos y metas organizacionales.
30
El Plan Estratgico de TI
La planeacin estratgica de TI es necesaria para
gestionar y dirigir todos los recursos de TI alineados con las prioridades y estrategias de la organizacin. El rea de TI y los involucrados de la organizacin son los responsables de asegurar que se obtenga el valor ptimo de los portafolios de proyectos y servicios. El plan estratgico mejora la comprensin de los involucrados clave de las oportunidades y limitaciones de las TI, evala el desempeo actual, identifica la capacidad y requerimientos de talento humano; y, clarifica el nivel de inversiones requeridas. Las estrategias y prioridades de la organizacin se reflejan en los portafolios y se ejecutan a travs de planes tcticos de TI, que son comprendidos y aceptados por la direccin organizacional y por el rea de TI.
Las TI y la Estrategia Organizacional
COBIT 4.1 IT Governance Institute
Requisitos de Gobernanza
Dr. Hugo A. Banda Gamboa 2010
32
33
Balanced Scorecard (BSC) para TI

Es una tcnica para la evaluacin de la gestin de los procesos que puede aplicarse a la gobernanza de TI en lo que corresponde a funciones y procesos.
El uso de un BSC para TI es uno de los medios ms efectivos para ayudar al Comit Estratgico para TI y a la gerencia a lograr la alineacin de TI con las estrategias organizacionales.
Balanced Scorecard para TI
Board Briefing on IT Governance IT Governance Institute

COBIT 4.1 IT Governance Institute 36
Metas Organizacionales vs. Metas de TI
COBIT 4.1 IT Governance Institute 37
Proceso de Planificacin para las TI

Reportes Beneficio - Costo
Evaluacin del Riesgo Portafolio Actualizado de Proyectos de TI

Requerimientos Actualizados de Servicios / Portafolio actualizado de servicios de TI
Estrategia Organizacional y Prioridades
Plan Estratgico para TI Plan Tctico para TI
Planificacin de TI
Portafolio de Proyectos de TI Portafolio de Servicios de TI Estrategia de Provisin de Servicios para TI
Portafolio de Programas Requerimientos de Desempeo para la Planificacin de TI
Reportes del Estado Actual de Gobernanza de TI / Direccionamiento Estratgico Organizacional para las TI
Estrategia para Adquisiciones de TI
38
Gua para el Plan Estratgico de TI
39
GOBERNANZA DE LA SEGURIDAD DE LA INFORMACIN
40
Gobernanza de la Seguridad de la Informacin

Es una actividad enfocada que tiene impulsores de valor especficos: Integridad de la informacin. Continuidad de los servicios. Proteccin de los activos de informacin. La seguridad de la informacin: Cubre todos los procesos relacionados, fsicos y electrnicos, independientemente si ellos involucran personal y tecnologa o relaciones con socios, clientes o terceros. Se refiere a todos los aspectos de la informacin y su proteccin en todos las etapas de su ciclo de vida dentro de la organizacin.
Resultados de la Gobernanza de la Seguridad

Alineamiento Estratgico Alinear la seguridad de la informacin con la estrategia para apoyar los objetivos organizacionales. Gestin del Riesgo Administrar y ejecutar medidas apropiadas para mitigar riesgos y reducir potenciales impactos en los recursos de informacin a niveles aceptables. Entrega de Valor Optimizar inversiones en seguridad que apoyen los objetivos organizacionales. Medicin del Desempeo Medir, monitorear y reportar los procesos de seguridad de la informacin para asegurar la consecucin de los objetivos. Gestin de Recursos Utilizar el conocimiento y la infraestructura de seguridad de la informacin eficiente y efectivamente.
Gestin de Seguridad de la Informacin

Asigna al departamento de TI un papel importante para asegurar que la informacin organizacional y los recursos de procesamiento de la informacin bajo su control sean apropiadamente protegidos. Esto puede involucrar la implementacin de un programa de seguridad de las TI en toda la organizacin, incluyendo la preparacin de un Plan de Continuidad y Recuperacin de Desastres. Un componente importante es la aplicacin de principios de gestin de riesgos para evaluar la vulnerabilidad de los activos de TI, mitigar los riesgos a un nivel apropiado y monitorear los riegos residuales.
Information Technology -Security Techniques

Comprende un conjunto de estndares y prcticas de gestin en una organizacin a fin de mejorar la confiabilidad y la seguridad de la informacin:
ISO/IEC 27001 - Information security management systems

Requirements ISO/IEC 27002 - Code of practice for information security management ISO/IEC 27003 - Information security management system implementation guidance ISO/IEC 27004 - Information security management Measurement ISO/IEC 27005 - Information security risk management ISO/IEC 27006- Requirements for bodies providing audit and certification of information security management systems
GESTIN DEL RIESGO
45
Gestin del Riesgo

Es un proceso que identifica vulnerabilidades y
amenazas a los recursos de informacin que usa una organizacin para lograr sus objetivos y permite decidir qu medidas se va a tomar para reducir el riesgo a un nivel aceptable, basado en el valor que el recurso de informacin tiene para la organizacin. Dependiendo del tipo de riesgo y su significado, una organizacin puede escoger:
Evitar
Eliminar Mitigar
Transferir
Aceptar
Procesos para Gestin del Riesgo

El primer paso es la identificacin y clasificacin de los recursos o activos de informacin que necesitan proteccin porque son vulnerables a las amenazas. El propsito de la clasificacin puede ser ya sea para priorizar futura investigacin e identificar proteccin apropiada o permitir la aplicacin de un modelo estandarizado de proteccin. Ejemplos de activos asociados con la informacin, son: Datos e informacin; hardware, software, servicios, documentos y personal. Una vez que los riesgos hayan sido identificados, se puede evaluar los controles existentes o disear nuevos controles para reducir las vulnerabilidades a un nivel de riesgo aceptable.
Mtodos para Anlisis de Riesgos

Mtodos de anlisis cualitativos Utilizan adjetivos o rangos para describir el impacto o la probabilidad. Mtodos de anlisis semi-cuantitativos Se utilizan rangos descriptivos que luego se asocian a escalas numricas. Mtodos de anlisis cuantitativos Utilizan valores numricos para describir la probabilidad e impacto de los riesgos usando datos de diferentes tipos de fuentes, tales como: registros histricos, experiencias pasadas, prcticas y registros industriales, teoras estadsticas, pruebas y experimentos.
COSO ERM / MAGERIT

COSO ERM es un marco que provee: Definicin de administracin de riesgos corporativos. Principios crticos y componentes de un proceso de administracin de riesgos corporativos efectivo. Pautas para las organizaciones sobre cmo mejorar su administracin de riesgos Criterios para determinar si la administracin de riesgos es efectiva, y si no lo es que se necesita para que lo sea. MAGERIT es una metodologa que persigue los siguientes
objetivos:
Concienciar a los responsables de los sistemas de informacin de
la existencia de riesgos y de la necesidad de enfrentarlos a tiempo. Ofrecer un mtodo sistemtico para analizar tales riesgos. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control. Preparar a la organizacin para procesos de evaluacin, auditora, certificacin o acreditacin, segn corresponda en cada caso.
El Marco de Trabajo Risk IT

El riesgo de TI es un riesgo organizacional asociado con el uso, propiedad, operacin, involucramiento, influencia y adopcin de TI. Consiste de eventos asociados con la TI que pueden potencialmente impactar a la organizacin. Estos incluyen frecuencia y magnitud de la incertidumbre. El riesgo de TI, puede ser categorizado de diferentes maneras: Riesgo asociado con la entrega de servicios de TI Riesgo asociado con la entrega o realizacin del beneficio de una solucin (proyectos) Riesgo asociado al logro de beneficio organizacional debido a las TI
COBIT, Risk IT y Val IT
Risk IT 2009 IT Governance Institute

Principios de Risk IT
La Gobernanza empresarial efectiva de los riesgos de TI: Siempre est conectada con los objetivos organizacionales Alinea la gestin de los riesgos relacionados con las TI con la gestin total de los riesgos organizacionales La gestin efectiva de los riesgos de TI: Promueve la comunicacin clara y abierta acerca de los riesgos de TI Establece la estrategia apropiada desde la alta gerencia, a la vez que define y refuerza la responsabilidad para operar dentro de niveles de tolerancia bien definidos y aceptables Es un proceso continuo y forma parte de las actividades cotidianas
52
PRCTICAS PARA GESTIN DE LAS TECNOLOGAS DE INFORMACIN
53
Gestin del Capital Humano

La gestin del capital humano se refiere a las polticas y procedimientos organizacionales para: Reclutamiento Manual del Empleado Polticas de Promocin Entrenamiento Calendarizacin de actividades y reportes de tiempo Evaluacin del desempeo del personal Vacaciones requeridas Polticas de terminacin de relaciones laborales.
Prcticas para Provisin de Servicios

Se relaciona con las prcticas utilizadas para que la organizacin disponga de funciones de TI que se requieren para apoyar las actividades productivas. La provisin de esos servicios puede ser: Interna (insourced) Externa (outsourced) Hbrida Las funciones de SI pueden expandirse a lo largo y ancho del planeta, tomando ventaja de costos de mano de obra y husos horarios, pudiendo incluirse: En sitio (onsite) Fuera del sitio (offsite) En una localidad geogrfica remota (offshore)
Information Technology Infraestructure Library (ITIL)

Las organizaciones cada vez son ms dependientes de las TI para satisfacer sus aspiraciones y necesidades corporativas. Para esto se requiere que las TI proporcionen servicios de calidad a un nivel apropiado tanto a los requerimientos de los usuarios, como de la organizacin. ITIL proporciona un conjunto coherente y consistente de mejores prcticas para la gestin de los servicios de las TI y de los procesos relacionados, promoviendo la calidad para lograr la efectividad y la eficiencia organizacional en el uso de los sistemas de informacin.
ISO/IEC 20000
ISO/IEC 20000 fue publicada en Diciembre 15 de 2005,
en dos partes:
ISO/IEC 20000-1 ITSM Especificacin para Gestin del
Servicio.- Proporciona los requerimientos para la gestin del servicio de TI y es relevante para los responsables de iniciar, implementar o mantener la gestin del servicio de TI en la organizacin. Esta es la parte que corresponde a la certificacin. ISO/IEC 20000-2 ITSM Cdigo de Prctica para Gestin del Servicio.- Provee una gua para los auditores internos y asistencia a los proveedores de servicio para planificacin, mejora o preparacin para las auditorias establecidas en la ISO/IEC 20000-1.
ISO 20000 es conceptualmente el marco de trabajo
dentro del cual opera ITIL.

ITIL versin 3
ITIL v3 fue publicada en Mayo 2007 y
comprende 5 volmenes clave: 1. Estrategia del Servicio 2. Diseo del Servicio 3. Transicin del Servicio 4. Operacin del Servicio 5. Mejoramiento Continuo del Servicio
Estos se aplican a: Procesos, Herramientas, Roles y Funciones.

Componentes de ITIL Ver 3
Prcticas de Gestin Financiera

La gestin financiera es uno de los elementos ms
crticos de todas las funciones organizacionales. En un mundo altamente computarizado, es imperativo que se pongan a operar slidas prcticas de gestin financiera. La gestin de los SI al igual que otros departamentos, tiene que desarrollar un presupuesto para estimar, monitorear y analizar la informacin financiera. Permite la asignacin apropiada de fondos, especialmente en un entorno de SI caracterizado por ser intenso en costo. El presupuesto de TI debe estar asociado a planes de TI de largo y corto plazo.
El Marco de Trabajo Val IT

Val IT proporciona buenas prcticas para que una empresa adquiera una estructura que le permite medir, monitorear y optimizar la obtencin de valor empresarial de sus inversiones en TI. Val IT est relacionado y se complementa con COBIT. Presenta procesos y prcticas gerenciales clave para tres dominios: Gobernanza de Valor Gestin de Portafolio Gestin de Inversiones
60
Principios de Val IT
Las inversiones en TI, debern: Ser gestionadas como un portafolio de inversiones Incluir todas las actividades requeridas para lograr la generacin de valor para la organizacin Ser gestionadas a lo largo de todo el ciclo de vida econmico Las prcticas de generacin de valor, debern: Reconocer que existen diferentes tipos de inversiones que sern evaluadas y gestionadas de manera diferente Definir y monitorear mtricas clave y responder rpidamente a cualquier cambio o desviacin Incluir a todos los involucrados y asignar responsabilidades para la entrega de capacidades y la obtencin de beneficios Ser continuamente monitoreadas, evaluadas y mejoradas
61
Gestin de Portafolio
La gestin del portafolio de aplicaciones potenciales para una organizacin permite: Clasificar, Priorizar, y; Decidir sobre su ejecucin. No existe un perfil ideal para todas las organizaciones. Pero, en general, se debe ejecutar proyectos que impliquen altos beneficios y bajos riesgos.
Decisin de Ejecucin de Proyectos

Beneficios Totales
ALTOS
Proceder
Examinar con mucho cuidado antes de proceder
BAJOS
Re-examinar para reconfiguracin o reemplazo

BAJOS
Evitar
ALTOS
Riesgos Totales
Valoracin Financiera
La presupuestacin de capital es un proceso de
anlisis y seleccin de diversas propuestas para gastos de capital. Todos los mtodos de presupuestacin de capital utilizan los flujos de efectivo desde y hacia la empresa. Los sistemas de informacin tienen una elevada tasas de obsolescencia tecnolgica lo que implica que el perodo de pago tiene que ser ms corto (3 aos) y las tasas de recuperacin ms altas que en los casos tpicos de proyectos de capital de vida til ms larga.
Evaluacin de Proyectos de Capital

Una vez establecidos los flujos de efectivo se pueden utilizar diversos mtodos para tomar decisiones sobre inversin:
El mtodo de pago
Tasa contable de recuperacin sobre la
inversin Relacin beneficio / costos El valor presente neto El ndice de rentabilidad La Tasa Interna de Retorno (TIR)
Costos y Beneficios
Los costos y beneficios no ocurren dentro del
mismo marco de tiempo. Los costos tienden a ser en efectivo y tangibles, mientras que algunos beneficios pueden ser a posteriori e intangibles. Los beneficios tangibles se los puede cuantificar y asignar un valor monetario. Los beneficios intangibles, no se pueden cuantificar de inmediato, pero a la larga pueden llevar a ganancias cuantificables.
Total Cost of Ownership (TCO)

Es una medida que se usa a menudo para evaluar la efectividad de los costos de una organizacin en Tecnologas de Informacin y Comunicaciones.
Es una visin sistmica de los costos de adquisicin y administracin de los sistemas de informacin y comunicaciones de una empresa. En un estudio realizado por el Grupo Gartner (USA, 1996), se encontr que apenas el 20% del TCO, corresponde a los costos de iniciales de adquisicin, el resto est distribuido en los costos de administracin.
Costos Relacionados con el TCO

Costos de Adquisicin
Costos de Administracin
Control Operaciones
Soporte y mantenimiento Evaluacin Instalacin / Mejoras Reclutamiento / Entrenamiento Servicios de comunicacin Auditoria Consumo de energa Tiempo fuera de servicio Virus y Spyware Uso no autorizado
Hardware Implementacin y mantenimiento de Software la centralizacin Almacenamiento y Bases de Datos Implementacin y mantenimiento de Redes de la estandarizacin Comunicacin Recursos Humanos
Modelo para Balance del TCO y Nivel de Servicio

Infraestructura: HW de red SW de red Compatibilidad de aplicaciones Actitud del usuario final: Comunicacin Involucramiento Realimentacin Planeacin: Desarrollo de estndares Plan de implantacin
Nivel de Servicio
Implementacin exitosa de polticas de Control
TCO
69
Ciclo del TCO

Gestin del TCO Anlisis del TCO
Implementar gradualmente Revisar cada 6 9 meses Medir tendencias y validar procesos Tasar activos Analizar costo promedio en el entorno Valorar costo y calidad Analizar y comparar costos reales
Mejoramiento del TCO
Seleccionar tecnologas y mejorar prcticas Establecer modelos de valoracin y de ROI Seleccionar la mejor alternativa
Gestin de la Calidad
Se refiere a los medios utilizados por el departamento
de TI para controlar, medir y mejorar procesos. En este contexto se entiende por proceso al conjunto de tareas que, cuando son apropiadamente ejecutadas, producen los resultados esperados. reas de control de calidad pueden incluir:
Desarrollo de SW, mantenimiento e implementacin Adquisicin de HW y SW Operaciones diarias Gestin del servicio
Seguridad
Gestin del capital humano
Administracin general
71
ISO 9001-2008
Tiene un impacto directo en los procesos de auditora: Manual de calidad.- Es estndar requiere un manual de calidad que contenga procedimientos documentados a los que se haga referencia en el sistema de gestin de la calidad y el los procesos involucrados Recurso humano.- Requiere que el personal que trabaja en procesos que pueden afectar la calidad, tengan competencias basadas en entrenamiento apropiado, educacin, habilidades y experiencia. Adquisiciones.- Impone un fuerte control en las adquisiciones, incluyendo evaluacin de proveedores y el uso de procesos definidos y debidamente documentados.
Funciones y Responsabilidades en TI
Los departamentos de TI pueden ser organizados de diferentes maneras, sin embargo se debe asegurar que est dependiente de la mxima autoridad administrativa de la organizacin ya que as se garantiza su proyeccin prospectiva y de continuo desarrollo apoyando las estrategias y polticas organizacionales. En pequeas organizaciones estn dirigidos por un director o gerente de TI y en organizaciones ms grandes por un Gerente de Informtica (CIO) o un Gerente de Recursos de Informacin (IRM).
73
Segregacin de Responsabilidades en TI
La segregacin de funciones evita que haya la posibilidad que una sola persona sea responsable de una diversidad de funciones crticas.
En este caso cualquier error que ocurriera podra pasar inadvertido o no detectado oportunamente.
La segregacin de tareas y funciones es un medio importante para evitar la comisin de actos dolosos o maliciosos: Custodia de valores Autorizaciones Registro de transacciones
Optimizacin del Desempeo

Este es un proceso dinmico que requiere de un
conjunto de mediciones y acciones:

Medicin de calidad de productos y servicios
Gestin de productos y servicios
Aseguramiento de la responsabilidad social

Toma de decisiones oportunas respecto a presupuestos Optimizacin del desempeo
COBIT provee gua para estos procesos : Medicin del desempeo Perfilamiento del control de TI Concienciacin Benchmarking
Gestin de Cambio Organizacional

Los cambios en una organizacin, deben ser debidamente gestionados. Para ello, se define y documenta un proceso que identifica y aplica mejoras tecnolgicas beneficiosas para la organizacin al nivel de aplicaciones y de infraestructura.
Este nivel de involucramiento y comunicacin asegurar que el departamento de TI pueda comprender totalmente las expectativas de los usuarios y se asegure que los cambios no sern ignorados o tal vez motivo de resistencia por los usuarios, una vez implementados.
IMPLEMENTACIN DE LA GOBERNANZA DE LAS TECNOLOGAS DE INFORMACIN
77
Marco de Referencia para Gobernanza de TI

Las organizaciones deben adoptar e implementar un marco de referencia para la gobernanza de TI, para: Entregar de forma efectiva de lo que demandan los requerimientos organizacionales Hacer que el desempeo sea transparente a la luz de estos requerimientos Organizar las actividades de TI dentro de un modelo de procesos generalmente aceptado Identificar los principales recursos a controlar Definir los objetivos de control de gestin a ser considerados
Elementos del Marco de Referencia para la Implementacin de Gobernanza de TI

ISO 9001-2008 Gestin de Calidad y Organizacin de
Procesos COSO Gua diseada para ayudar a las organizaciones a monitorear la calidad de sus sistemas de control interno. COBIT - Control Objectives for Information and related Technology Auditora y Gestin de Recursos de Informacin ISO/IEC 38500:2008 Gobernanza Corporativa de TI ISO 20000 (ITIL - Information Technology Infrastructure Library) Gestin de Servicios utilizando TI ISO/IEC 27001/27002/ Sistema de Gestin de Seguridad de la Informacin People-CMM The People Capability Maturity Model Mejoramiento continuo del capital humano.
Relaciones entre Elementos del Marco de Referencia

COSO
COBIT ISO 38500
ISO 27000
ISO 9000
Qu
ITIL (ISO 20000)
Cmo
80
COBIT: Gobernanza de TI
COBIT se enfoca en la entrega de valor y la mitigacin del riesgo, definiendo:
1. Qu decisiones clave deben tomarse
2. Quin es el responsable de tomarlas 3. Cmo deben tomarse 4. Cundo se esperan y cmo se medirn
los resultados
81
COBIT: reas de la Gobernanza de TI

Las actividades de gobernanza de TI pueden ser agrupadas en 5 reas de enfoque: 1. Alineacin Estratgica 2. Generacin y Entrega de Valor Pblico 3. Gestin de Riesgos 4. Gestin de Recursos 5. Medicin y Evaluacin del Desempeo
GOBERNANZA DE TI
4. Gestin de Recursos
Fuente: COBIT 4.1
82
1. Alineamiento Estratgico
Asegura el alineamiento entre estrategia del negocio y la estrategia de TI.
Define, mantiene y valida la proposicin de valor de las TI.
Alinea las operaciones de las TI con las operaciones empresariales

Asegura que la inversin en TI de una empresa est acorde con los objetivos estratgicos de la empresa
83
2. Generacin y Entrega de Valor Pblico

Asegura que las TI entreguen los beneficios acordados en relacin con la estrategia empresarial, concentrndose en la optimizacin de costos y demostrando el valor intrnseco de las TI, a largo de todo su ciclo de vida
84
3. Gestin de Riesgos
Requiere: Conciencia de riesgo por parte de la alta gerencia Claro entendimiento de la actitud organizacional hacia el riesgo Entendimiento de los requerimientos de cumplimiento Transparencia sobre los riesgos significativos de la organizacin Incremento de las responsabilidades de la Unidad de Gestin de Riesgos dentro de la organizacin Los riesgos pueden ser gestionados por medio de: Mitigacin Transferencia Aceptacin Prevencin
4. Gestin de los Recursos

Optimiza la inversin y la gestin de los recursos crticos de TI, tales como: Aplicaciones Informacin Infraestructura Personas Una estrategia con visin prospectiva ayudar a gestionar y desarrollar competencias y capacidades para el presente y para el futuro.
5. Medicin y Evaluacin del Desempeo

Comprende el seguimiento y supervisin de la implementacin de estrategias, cumplimiento de proyectos, uso de recursos, desempeo de procesos y entrega de valor. Si no hay forma de medir y evaluar las actividades de TI, no es posible asegurar el alineamiento, la entrega de valor, la administracin de riesgos y el uso efectivo de los recursos.
Para la medicin y evaluacin del desempeo, se utiliza un tablero de mando integral (balanced scorecard)
87
COBIT: Control de TI
Conceptualiza el marco de referencia para control de TI desde tres perspectivas:
4 Recursos de TI: Aplicaciones, Informacin,
Infraestructura y Personas 210 actividades distribuidas en 34 Procesos de TI, agrupados en 4 Dominios 7 atributos que caracterizan los requerimientos de informacin de la organizacin
Para alcanzar los objetivos propuestos, una organizacin debe:

Administrar los recursos de TI, mediante procesos efectivos,
naturalmente agrupados en dominios, para obtener la informacin que necesita la organizacin.

El Cubo de COBIT
Requerimientos de Informacin
(4)
(34)
(210)
89
Recursos de TI
Datos En su sentido ms amplio: Externos, internos, estructurados, no estructurados (texto, sonidos, imgenes, grficos, etc.) Infraestructura Incluye la tecnologa (HW, SW, Redes) y el ambiente en el que se encuentran (instalaciones, entorno, etc.) Aplicaciones Comprende el conjunto de procedimientos manuales y automatizados. Capital Humano Personal requerido para planificar, organizar, adquirir, implementar, distribuir, soportar, monitorear y evaluar la informacin de servicios y sistemas. Puede ser interno, externo o contratado.
Procesos de TI
Estn agrupados en 4 dominios. Cada uno corresponde a una responsabilidad organizacional: Planeacin y Organizacin (Plan and Organize) Adquisicin e Implementacin (Acquire and Implement) Entrega y Soporte (Deliver and Support) Monitoreo y Evaluacin (Monitor and Evaluate)
Requerimientos de Informacin de la Organizacin

Calidad Efectividad:
Informacin relevante y pertinente para los procesos organizacionales; as como correcta consistente, formato utilizable y despachada oportunamente.
Eficiencia:
Proveer informacin de mediante el empleo ptimo de recursos (de forma ms productiva y econmica).
Seguridad Integridad:
Informacin exacta y completa, as como vlida de acuerdo al conjunto de valores y expectativas de la organizacin.
Confidencialidad: Proteccin de la informacin sensible de divulgacin no autorizada. Disponibilidad: Informacin disponible cuando es requerida por los procesos de la organizacin ahora y en el futuro. Involucra la salvaguarda de los recursos y capacidades asociadas.
Fiabilidad Cumplimiento:
Cumplimiento de leyes, regulaciones, compromisos contractuales a los que estn sujetos los procesos de la organizacin, ya sean criterios externos o polticas internas.
Confiabilidad: Proveer informacin apropiada a la alta gerencia para operar la entidad y para ejercer sus responsabilidades fiduciarias y de gobernanza.
92
COBIT Framework
Objetivos Organizacionales Objetivos de Gobernanza
Informacin
Monitorear y Evaluar
Recursos
Datos Infraestructura Aplicaciones Recursos Humanos
Planear y Organizar
Entregar y dar Soporte
Adquirir e Implantar
93
Conclusin
En una poca de cambios radicales, el futuro es de los que siguen aprendiendo. Los que se conforman con lo que aprendieron, quedarn equipados para vivir en un mundo que ya no existe
Eric Hoffer

Gobernanza de Tecnologías de Información

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Gobernanza de Tecnologías de Información

Uploaded by

Copyright:

Available Formats

Dr. Hugo A.

ESCUELA POLITCNICA NACIONAL

Dr. Hugo A. Banda Gamboa - 2010

adecuadamente Verificar que los recursos organizacionales se utilizan responsablemente

Estructura de la Gobernanza Corporativa

GOBERNANZA DE LAS TECNOLOGAS DE INFORMACIN

Dr. Hugo A. Banda Gamboa - 2010

La Gobernanza de las Tecnologas de Informacin (TI)

Corporativa. Destaca la importancia de las TI en las organizaciones actuales y establece que:

Dr. Hugo A. Banda Gamboa - 2010

Gobernanza de las TI: Definicin

Prctica de Gobernanza de las TI

En esencia, la gobernanza de TI se preocupa de

2. Asignacin de Responsabilidades 3. Rendicin de Cuentas 4. Actividades de TI Efectivas

A su vez, el control interno especfico es

Obligaciones del Auditor de TI

Evaluacin de la Prctica de Gobernanza de TI

POLTICAS, PROCEDIMIENTOS Y CONTROL INTERNO

Dr. Hugo A. Banda Gamboa - 2010

El Marco de Trabajo de COSO

Dr. Hugo A. Banda Gamboa - 2010

Monitoreo Aplicado a Procesos de Control Internos

Dr. Hugo A. Banda Gamboa - 2010

Modelo COSO para Monitoreo

Dr. Hugo A. Banda Gamboa - 2010

PLANEACIN ESTRATGICA DE LAS TI

Dr. Hugo A. Banda Gamboa - 2010

Dr. Hugo A. Banda Gamboa - 2010

Las TI y la Estrategia Organizacional

COBIT 4.1 IT Governance Institute

Dr. Hugo A. Banda Gamboa 2010

Dr. Hugo A. Banda Gamboa 2010

COBIT 4.1 IT Governance Institute

Balanced Scorecard (BSC) para TI

Balanced Scorecard para TI

Board Briefing on IT Governance IT Governance Institute

Dr. Hugo A. Banda Gamboa 2010

COBIT 4.1 IT Governance Institute 36

Metas Organizacionales vs. Metas de TI

Dr. Hugo A. Banda Gamboa 2010

COBIT 4.1 IT Governance Institute 37

Proceso de Planificacin para las TI

Evaluacin del Riesgo Portafolio Actualizado de Proyectos de TI

Estrategia Organizacional y Prioridades

Plan Estratgico para TI Plan Tctico para TI

Portafolio de Proyectos de TI Portafolio de Servicios de TI Estrategia de Provisin de Servicios para TI

Portafolio de Programas Requerimientos de Desempeo para la Planificacin de TI

Estrategia para Adquisiciones de TI

Dr. Hugo A. Banda Gamboa 2010

Gua para el Plan Estratgico de TI

Dr. Hugo A. Banda Gamboa 2010

COBIT 4.1 IT Governance Institute

GOBERNANZA DE LA SEGURIDAD DE LA INFORMACIN

Dr. Hugo A. Banda Gamboa - 2010

Gobernanza de la Seguridad de la Informacin

Resultados de la Gobernanza de la Seguridad

Gestin de Seguridad de la Informacin

Information Technology -Security Techniques

GESTIN DEL RIESGO

Dr. Hugo A. Banda Gamboa - 2010

Gestin del Riesgo

Procesos para Gestin del Riesgo

Mtodos para Anlisis de Riesgos

COSO ERM / MAGERIT