Diseño de un Sistema de Gobierno de Tecnologías de la Información
El proceso de diseño se basa en cuatro etapas y una serie de pasos, según se muestra en la siguiente figura.
Read More
Cobit como marco de Gobierno y Gestión de TI
COBIT se mantiene posicionado como el marco paraguas, que abarca el más amplio espectro de gobierno y gestión de TI,
Importancia del buen Gobierno de TI para las organizaciones
Es el marco de buenas prácticas de gobierno y gestión de TI más usado por las organizaciones
Implementación de un Sistema de Gobierno de Tecnologías de la Información
Luego de determinar el diseño final, en el proceso de implementación se realiza principalmente un análisis de brecha
Diseño e Implementación de Gobierno de TI (Gobierno de Tecnologías de la Información)
Diseño e Implementación de Gobierno de TI
Ing. José Antonio Lavado Landeo
Certificación ISACA en CGEIT, Cobit 2019 Foundation y Cobit 2019 Design & Implementation
1. Introducción
En el pasado, se consideraba la función de las tecnologías de la información (TI) de una organización, como una función meramente de soporte –una función separada y diferenciada del resto del negocio- era una práctica común. Actualmente, la mayor parte de la inversión en infraestructura y nuevas aplicaciones de TI abarcan líneas y funciones del negocio, siendo que, las empresas dependen cada vez más de las TI para su supervivencia y crecimiento. Por consiguiente existe la necesidad de gobernar y gestionar TI e integrarlo al negocio.
Pero, ¿cómo se puede afrontar este reto estratégico? Las cuestiones clave son:
- ¿Existe un marco o buenas prácticas para ayudar a los responsables del negocio y de tecnología en su esfuerzo por cambiar el rol de TI y reducir la distancia entre TI?
- ¿Se puede definir todos los procesos y las responsabilidades en TI?
- ¿Cómo asegurar la generación de valor a través del uso de las TI?
- ¿Existe un marco de buenas prácticas que recomiende el diseño de los procesos de TI a la medida de las necesidades de cada empresa?
Un elemento crítico
Un elemento crítico para el éxito y la supervivencia de las organizaciones, es la administración efectiva de la información y de las Tecnologías de la Información relacionadas. En esta sociedad global esta criticidad emerge de:
- La creciente dependencia en información y en los sistemas que proporcionan dicha información.
- La creciente vulnerabilidad y un amplio espectro de amenazas, tales como las “ciber amenazas” y la guerra de información.
- El coste de las inversiones actuales y futuras en información y en tecnología de información.
- El potencial que tienen las tecnologías para cambiar radicalmente las organizaciones y las prácticas de negocio, crear nuevas oportunidades y reducir costos.
Para muchas organizaciones, la información y la tecnología que la soporta, representan los activos más valiosos de la empresa. Es más, en nuestro competitivo y rápidamente cambiante ambiente actual, la alta dirección ha incrementado sus expectativas relacionadas con la entrega de servicios de TI. Por lo tanto, requiere servicios que presenten incrementos en calidad, en funcionalidad y en facilidad de uso, así como una mejora continua y una disminución de los tiempos de entrega; al tiempo que demanda que esto se realice a un costo más bajo.
2. Necesidad de Gobierno de TI
Las empresas dependen cada vez más de las TI para su supervivencia y crecimiento, siendo actualmente fundamental para mantener y hacer que crezca el negocio. Como consecuencia, en las últimas dos décadas se ha prestado una atención especial al gobierno de TI, siendo Cobit un marco de buenas prácticas de gobierno de TI (que reúne el consenso de expertos), que se ha desarrollado en ese periodo, así como el estándar ISO 38500, que posee conocimientos más básicos sobre este campo.
El gobierno de TI es una parte fundamental del gobierno corporativo, siendo necesario que el gobierno de TI esté alineado al negocio para la creación de valor.
Las actividades de la empresa requieren información de las actividades de TI con el fin de satisfacer los objetivos del negocio. Organizaciones exitosas aseguran la interdependencia entre su plan estratégico y sus actividades de TI.
TI debe estar alineado y debe permitir a la empresa tomar ventaja total de su información para maximizar sus beneficios, capitalizar oportunidades y ganar ventaja competitiva.
El gobierno de TI es complejo y multifacético. No existe una fórmula milagrosa (ni modo ideal) para diseñar, implementar y mantener un sistema de gobierno de TI eficaz y eficiente dentro de una organización. Sin embargo, es imprescindible que las organizaciones para gobernar TI, se basen en un marco de buenas prácticas, siendo Cobit un marco muy usado en países desarrollados.
El núcleo de TI consta de dos responsabilidades principales, la entrega de valor al negocio y mitigar los riesgos relacionados con TI. El consejo directivo y la alta gerencia de la organización necesita ampliar sus responsabilidades de gobierno a TI y proveer estructuras y procesos que aseguren que las Tecnologías de Información son capaces de soportar los objetivos y estrategias de la organización.
Cobit posee un modelo de referencia que se basa en 40 objetivos (cada objetivo posee un proceso y otros componentes), agrupados en cinco dominios:
- Evaluar, dirigir y monitorear
- Alinear, planificar y organizar
- Construir, adquirir e implementar
- Entregar, dar servicio y soporte.
- Monitorizar, evaluar y monitorizar.
Este modelo cubre todos los aspectos de la información y de la tecnología que la soporta, pero sin embargo se recomienda que debe pasar por un proceso de adaptación a las necesidades de cada empresa y de alineación al negocio.
Para asegurar que la Gerencia alcance los objetivos de negocio, ésta debe dirigir y administrar las actividades de TI para alcanzar un balance efectivo entre la gestión de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar las actividades más importantes que deben ser desarrolladas, midiendo el progreso hacia el cumplimiento de las metas y determinando lo bien que se están desarrollando los procesos de TI. Aún más, necesita tener la habilidad de evaluar el nivel de madurez de la organización contra las mejores prácticas industriales y los modelos internacionales.
Una necesidad básica para toda organización es entender la situación de sus propios sistemas de TI y decidir qué seguridad y control se les debe suministrar. Ningún aspecto de este problema—entender el nivel de control requerido y decidir sobre el mismo—es directo. Obtener una visión objetiva del propio nivel de una organización no es fácil. ¿Qué se debe medir y cómo? Además de la necesidad de medir dónde se encuentra una organización, está la importancia de la constante mejora en las áreas de seguridad y control de TI, y la necesidad de un conjunto de herramientas de administración para monitorizar esta mejora. Decidir cuál es el nivel correcto es igualmente difícil.
3. Proceso de diseño de un sistema de Gobierno TI
El proceso de implantación de gobierno de TI ha sido estudiado y desarrollado por Cobit 2019, siendo el único marco conocido que nos brinda pautas de diseño e implementación y como alinear el sistema de gobierno de TI a los objetivos del negocio.
Se basa en dos procesos bien definidos, el proceso de diseño que permitirá obtener el diseño de un sistema de gobierno adaptado a las necesidades de una empresa y la implementación de proyectos para lograr dicho diseño.
El proceso de diseño se basa en cuatro etapas y una serie de pasos, según se muestra en la siguiente figura.
Este proceso está basado en factores de diseño, que al priorizarse, a través de tablas de alineamiento, se logra como resultado recomendaciones para priorizar objetivos de gobierno y gestión de TI o componentes del sistema de gobierno de TI.
Cobit recomienda el uso de su herramienta de software de diseño, que permite ingresar los datos de priorización de factores y al final visualizar todas las recomendaciones de priorización de objetivos de gobierno y gestión de TI, para que el diseñador tome las decisiones finales y logre el diseño final.
Las etapas del proceso de diseño son las siguientes:
1.- Entender el contexto y las estrategias de la empresa. Conocer los factores ambientales internos y externos de la organización, comprender los objetivos estratégicos empresariales, el perfil de riesgo y los problemas actuales que impactan sobre el uso de las TI.
2.- Determinar el alcance inicial del sistema de gobierno. En esta etapa se debe determinar el arquetipo de estrategia empresarial (crecimiento, innovación, liderazgo en costos y servicio al cliente). Asimismo, se debe priorizar los objetivos empresariales (basado en el Balance Scorecard BSC), valorizar los riesgos por el uso de las TI y priorizar los problemas a los cuales está expuesto la empresa por el uso de las TI.
3.- Perfeccionar el alcance del sistema de gobierno. En esta etapa se debe determinar el panorama de amenazas de la industria a la que pertenece la empresa, el nivel de requerimiento de cumplimiento de la empresa, se debe determinar el rol de TI en la empresa (soporte, fábrica, cambio, estratégico), el modelo de abastecimiento para TI (outsourcing, nube, insourcing o híbrido), el método de desarrollo de software (ágil, DevOps, tradicional o híbrido) y determinar la estrategia de adopción de tecnología (primero en adoptar, medio o adoptador lento).
4.- Finalizar el diseño del sistema de gobierno. En esta etapa se debe visualizar y analizar las recomendaciones del sistema de diseño de Cobit y dependiendo de las necesidades de la empresa se debe tomar las decisiones para el diseño final. Se recomienda que para lograr cierto nivel de maduración de un objetivo, utilizar herramientas de software para automatización de procesos de gobierno o gestión TI (como software GRC, software ITSM, etc.) las cuales de considerar necesarias, se deben incluir en el diseño final.
4. Proceso de implementación
Luego de determinar el diseño final, en el proceso de implementación se realiza principalmente un análisis de brechas que determina los objetivos que se deben desarrollar o madurar, lo cual se realiza a través de un enfoque de programas o proyectos de implementación, para lograr acortar la brecha respecto al diseño, normalmente se desarrolla en diferentes interacciones, bajo un proceso cíclico, según se aprecia en la siguiente figura.
El proceso de implementación se basa en siete fases, las cuales se detallan a continuación:
1.- Identificar los impulsores. En esta primera fase se identifica los impulsores de cambio y crea a nivel de la gestión ejecutiva el deseo de cambiar que se expresa como una descripción de un caso de negocio, en el cual se determina los beneficios que obtendrá la empresa con el cambio.
2.- Determinar el estado actual. En esta fase se determina la estrategia, los objetivos de la empresa, los riesgos y problemas, las cuales ya han sido determinadas en las etapas de diseño.
3.- Establecer donde queremos estar. En esta fase se realiza un análisis de brechas respecto al diseño, se identifican iniciativas de mejora factibles y las traslada a proyectos justificados. Tras su aprobación, dichos proyectos deben ser integrados en la estrategia de mejora con un plan detallado para alcanzar la solución.
4.- Establecer que debe hacerse. En esta etapa se definen los proyectos sustentados con casos de negocio justificables y un plan de cambio para la implementación.
5.- Como implementar el proyecto. En esta etapa se ejecutan los proyectos, se realiza el seguimiento y control.
6.- Verificar el logro. En esta fase se verifica si se ha cumplido las metas esperadas y se centra en la transición sostenible de las mejoras del proyecto a las operaciones diarias de la empresa.
7.- Mantener el impulso. En esta fase se identifica otros requerimientos de gobierno y gestión y refuerza la necesidad de una mejora continua.