Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
UNIVERSIDAD NACIONAL PEDRO RUIZ GALLO “FACULTAD DE INGENIERÍA CIVIL, DE SISTEMAS Y ARQUITECTURA” “ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS” “GOBIERNO DE TI” INTEGRANTES: Burga Coronel Andrés Matta Fernández Jhony Alberth Muguerza Sánchez José Emanuel Nicole de los Ángeles Valdivieso Pardo Peña Sampén José Alonso Sandoval Cherres José Alexander DOCENTE: Ing. Segundo Jose Castillo Zumarán CURSO: Normalización y Calidad Lambayeque, octubre del 2021 GOBIERNO DE TI/SI Cada vez toma mayor importancia el área de TI (Tecnologías de la información) como apoyo para cada uno de los procesos de la organización, lo cual ha generado una nueva dinámica en la forma en que se efectúan los negocios, enmarcados hacia nuevos mercados en el plano nacional e internacional. Es poco común escuchar de los profesionales de TI, el término Gobierno de TI, pero sus aportes son muy valiosos, garantizando un soporte necesario en los objetivos del negocio. Se entiende por Gobierno TI o IT Governance, consiste en una estructura de relaciones y procesos destinados a dirigir y controlar la empresa, con la finalidad de alcanzar sus objetivos y añadir valor mientras se equilibran los riesgos y el retorno sobre TI y sus procesos. El Gobierno de TI, es una metodología de trabajo, no una solución en sí. Está orientado a proveer las estructuras que unen los procesos de TI, recursos de TI e información con las estrategias y los objetivos de la empresa. Además, el Gobierno de TI integra e institucionaliza las mejores prácticas de planificación y organización, adquisición e implementación, entrega de servicios y soporte, y monitoriza el rendimiento de TI para asegurar que la información de la empresa y las tecnologías relacionadas soportan los objetivos del negocio. El Gobierno de TI conduce a la empresa a tomar total ventaja de su información logrando con esto maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja competitiva. ¿Por qué es tan importante el Gobierno de TI en una organización? Seguramente muchos empresarios cuando oyen hablar de la palabra “gobernabilidad”, intuitivamente la asocian con sus políticas de gobierno, altos costos, presupuestos quemados y procesos muy lentos. Sin embargo, los objetivos del Gobierno de TI (IT Governance) apuntan a todo lo contrario, como ya lo hemos hablado en artículos anteriores. El gobierno corporativo de TI está hecho especialmente para ayudar a esos empresarios en la toma de decisiones, basadas en buenas prácticas y casos de éxito. Apunta a reducir los costos de la organización, distribuir de manera óptima los presupuestos y poner en marcha los procesos mediante la adopción de una visión empresarial exitosa, en vez de perder tiempo y esfuerzo con la “prueba y error” Marco de gobierno de tecnologías de la información. De acuerdo con el IT Governance Institute, las principales dimensiones o áreas del gobierno TI son las siguientes: 1. Alineamiento Estratégico: se enfoca en asegurar la conexión e integración del negocio con los planes de las Tecnologías de información. Su objetivo es obtener mejor alineación que la competencia. 2. Entrega de valor: se refiere a ejecutar las propuestas de valor durante el ciclo de entrega, asegurando que TI entrega los beneficios relacionados con la estrategia del negocio, concentrándose en optimizar costes. 3. Gestión del riesgo: Comprende la necesidad del cumplimiento con los requisitos, transparencia en el tratamiento de los riesgos más significativos e integrar las responsabilidades de la gestión de riesgos en la organización. 4. Gestión de recursos: se centra en la organización de manera óptima de los recursos de TI de forma que los servicios que los requieran los obtengan en el lugar y momento requerido. 5. Medición del Rendimiento: controla la estrategia de la implantación, la estrategia de los proyectos, el uso de los recursos y el rendimiento de los procesos. Sin embargo si no hay una efectiva medición del rendimiento, los otros cuatro aspectos del Gobierno TI es muy probable que fallen. Los tres marcos de referencia del gobierno de TI actúan como integradores de otros modelos, estándares y metodologías como ITIL, PMBOK, ISO 27002, ISO 9000. Lo que permite aprovechar los avances que ya existan en una organización respecto al gobierno TI. Los factores inductores del Gobierno TI en la organización pueden ser: Regulaciones y Normativa: Legales (SOX, LOPD), Estándares (ISO 27001, ISO 20000), Certificaciones CMMI. Optimización de Recursos: Reingeniería procesos TI, Consolidación de recursos y Estrategias de externalización. Peticiones del Negocio: Alineamiento TI con la estrategia, Ciclo de vida de productos y de la demanda. Estándares para un buen Gobierno de TI Cada vez más, la alta dirección está tomando conciencia del impacto significativo que la información puede tener en el éxito de una organización, por tal motivo se está generando un cambio en cómo son concebidas las áreas de TI y su importancia en el crecimiento de las compañías. Dada su importancia, el Gobierno de TI ya tiene una norma ISO asociada, la ISO/IEC 38500:2008 “Corporate governance of information technology”, que viene a complementar el conjunto de estándares ISO que afectan a los sistemas y tecnologías de la información. Esta norma fija los estándares para un buen gobierno de los procesos y decisiones empresariales relacionados con los servicios de información y comunicación que, suelen estar gestionados tanto por especialistas en TIC internos o ubicados en otras unidades de negocio de la organización, como por proveedores de servicios externos. Es así como debido a la creciente necesidad de implementar el Gobierno TI en las organizaciones, se ha tomado como marco de referencia a COBIT (Control Objectives for Information Technology), el cual tiene en Colombia implementaciones exitosas. Es muy importante que las organizaciones consideren implementar el Gobierno de TI, pues ayuda a la comunicación entre el negocio y el área de TI, logrando un mejor alineamiento entre ambos, permite la optimización de recursos y reducción de costos, cumplimiento regulatorio y mejora continua de los procesos de TI. Importancia del buen Gobierno de TI Es ya conocido por todas las importancias que las TI tienen en prácticamente todas las actividades económicas de hoy en día: en algunas industrias es un recurso competitivo necesario para diferenciarse y proporcionar ventaja competitiva; mientras que en muchas otras, determina no la prosperidad, sino simplemente la supervivencia. Podemos decir entonces que las TI se han convertido en una herramienta catalizadora por excelencia de la competitividad y productividad de toda organización. Por ello, realizar inversiones exitosas en TI para llevar a la organización al siguiente nivel de productividad, innovación y poder crear productos y servicios con valor agregado, se ha convertido en una habilidad universal en el mundo de los negocios. Por esto, las TI son un elemento empresarial tan intrínseco y difundido, y se necesita poner especial atención en ella, revisando cuanto se apoya la empresa en ésta y cuán importante es ésta para la ejecución de la estrategia empresarial. Tradicionalmente, el manejo de las TI siempre ha sido relegado a un netamente aspecto técnico que tiene que ver nada más con los “ingenieros”. Es por esto que muchas de las inversiones en TI que se realizan en el mundo, no consiguen ningún retorno ni aportan valor a la organización. Este “lejanía” de las TI de la visión empresarial es causada por la naturaleza distinta que tienen las TI, que requieren más entendimiento técnico que otras disciplinas para comprender cómo habilita a la empresa y crea riesgos y oportunidades. Además, las TI han sido tratadas tradicionalmente como una entidad separadadel negocio, por lo que la Alta Gerencia está acostumbrada a fijarse únicamente en la competencia empresarial y los riesgos estratégicos, sin darle la atención debida a las TI, a pesar de las grandes inversiones que implica. Buenas prácticas de modelos de implementación de gobierno de TI. En las empresas se tiene la necesidad de entender el estado de la TI existente y de decidir el nivel de administración que se debe proporcionar, para saber dónde se encuentra actualmente y si se requieren mejoras, haciendo monitorización continua al proceso. El marco propone una evaluación por cada componente (TIC, aplicativos de apoyo, arquitectura SI/TI y modelado de negocio), en cada uno de ellos se debe medir los objetivos de control presentes; asignándole un grado de madurez en cada nivel. El nivel o grado de madurez muestra una estructura que permite comparar el nivel de desarrollo, para establecer la capacidad de administración de proyectos en una empresa o negocio; este consiste en el proceso que explica el camino que debe emprender la empresa para alcanzar la excelencia. El modelo de madurez permite reconocer en dónde está en determinado momento la empresa y como puede alinear los procesos tecnológicos con el direccionamiento estratégico de la organización. Son modelos de seguridad informática (ACIS, VIII) NIST-CSEAT, CITI- ISEM, COBIT Maturity Model, ISM3, SSE-CMM, CERT-CSO. El ISM3 Information Security Management Maturity Model, el modelo NIST-CSEAT: National Institute of Standards and Technology-Computer Secutiry Expert Assist Team que incluye cinco niveles de madurez progresiva como política, procedimiento, implantación, prueba e integración. El modelo NIST-CSEAT evalúa políticas, procedimientos, implementación, evaluación e Integración. Incluye aspectos como manejo y cultura, planes, entrenamiento y educación, presupuesto y recursos, manejo de ciclo de vida, responsabilidad en incidentes y emergencias, controles de seguridad operacional, seguridad física y controles de seguridad de TI. En los niveles de madurez de COBIT, va desde el nivel inexistente hasta el nivel optimizado; en el nivel inicial puede la empresa haber reconocido las necesidades de estructurar los procesos, pero no existen estándares, ni proceso formal, se manejan enfoques ad-hoc que generalmente se realizan de forma individual, presentándose gestión desordenada. En el nivel repetible el proceso se encuentra suficientemente desarrollado y varias personas ejecutan casi los mismos procedimientos, aunque carece de un entrenamiento formal y comunicación en los procedimientos siendo esto responsabilidad individual; el mayor problema radica en la dependencia del individuo (trabajador) existiendo una considerable probabilidad de error considerable. En el nivel definido, ya encontramos procesos estandarizados, documentados, bien difundidos a través de entrenamiento formal, el problema radica en el criterio para su adopción. En el siguiente nivel de madurez el gestionado, se pueden tomar decisiones ya que se monitorea y mide la aplicación de los procedimientos, se presenta mejora continua, los procesos se realizan de forma automática. En el nivel de madurez optimizado, o nivel de mejores prácticas, el proceso se basa en la mejora continua, las tecnologías se usan de forma integral, se incluyen herramientas que mejoran la calidad y efectividad, permitiendo aumentar la capacidad de adaptación de la organización y por ende la alineación de las tecnologías con las estructuras organizacionales. Alineamiento estratégico Las situaciones económicas de buena parte de las empresas hacen que todos los temas de inversión sean manejados con mucha cautela. La época de la presentación de presupuestos a finales del año para el año siguiente, y luego simplemente ejecutar el mismo se ha quedado en el recuerdo. El manejo de los presupuestos de tecnología informática también ha sufrido la misma suerte. Hace unos años, el crecimiento de los sistemas de información y la renovación tecnológica formaban parte de los rubros estables en los ejercicios de presupuesto. Hoy es indispensable que cada peso que se invierta en la tecnología informática sea justificado, no en términos de obsolescencia tecnológica sino en el impacto que tiene en el último renglón de los estados financieros, el renglón de las utilidades. Justificar proyectos de tecnología cada vez se hace más difícil precisamente por la dificultad de relacionar los desembolsos al impacto que tienen en el desempeño de la empresa. Existe, sin embargo, un concepto administrativo bajo el nombre de alineamiento estratégico de la tecnología que permite de alguna manera solventar esta dificultad. El alineamiento estratégico parte de las estrategias ya establecidas en una empresa. Por más pequeña que sea una empresa, por lo menos se tienen unos cursos de acción y unas metas a cumplir, puede que no formalmente, pero se tienen. En empresas de mayor tamaño ya se encuentran procesos de planeamiento estratégico que permiten identificar formalmente las estrategias de la compañía. Si está bien hecho el proceso, se obtienen los objetivos estratégicos, estos sí con sus respectivas métricas. Por otra parte, se necesita una adecuada ejecución de los procesos que impactan mayormente el resultado de la estrategia. Si el objetivo es el aumento de la venta mediante venta agregada con base en la historia de compra del cliente, el proceso de manejo histórico de las compras del cliente, además del de proyectar las ventas se vuelve crucial. Como dirían los profesores de ciencias y matemáticas, «por definición» los sistemas de información y por ende la tecnología digital debe brindar soporte a los procesos de la compañía, ya que éstos el componente más durable de la empresa. Por más que una compañía ajuste, mejore, divida o reduzca sus procesos, a menos que cambie de objeto, una empresa pagará a sus empleados, producirá y/o comercializará productos, comprará insumos y materias primas, y tendrá relaciones con entidades de control. La implementación de tecnología para apoyar procesos hace más duradera la efectividad de la misma. Por último, viene el alineamiento estratégico con el que iniciamos. La aplicación de la tecnología debe hacerse en los procesos que mayor impacto tienen sobre el éxito de la estrategia. Si una estrategia depende del conocimiento de la información de los clientes, un adecuado manejo de la misma a través de soluciones de CRM permitiría una alineación de la tecnología con las estrategias. Sin embargo, si, por el contrario, el énfasis está en la optimización del proceso productivo a través de mejoramiento de las relaciones con los proveedores, una aplicación de CRM no tendría oficio, por más que se sustente y esté de «moda» su implementación. Los Planes Estratégicos de Tecnología e Información persiguen este alineamiento, y en la medida en que efectivamente haya una implementación y administración de la tecnología alineada con el logro de los objetivos del negocio, habrá siempre disposición para seguir invirtiendo en tecnología. ¡De lo contrario, siempre se mirará el Departamento de TI como un Gasto! Estrategia de Negocio La estrategia del negocio y el alineamiento de las Tecnologías de la información y la comunicación (TI) son elementos fundamentales de un Gobierno de TI. Este ramifica las metas y estrategias hacia todas las áreas funcionales de una determinada organización para proporcionar un uso eficiente de la tecnología y sus estructuras organizativas para cumplir las metas establecidas. La administración estratégica involucra la formulación e implementación de los principales objetivos e iniciativas por los directivos de las compañías, con base en la consideración de los recursos y un asesoramiento de los ecosistemas en los que compite la compañía (Nag, Hambrick, & Chen, 2012) Su propósito de una estrategiade negocio es crear un "posicionamiento único y valioso en el mercado", hacer compromiso eligiendo "qué no hacer", y alinear las actividades de la compañía para que apoyen a la estrategia en curso. El Dr. Vladimir Kvint define la estrategia como "un sistema para encontrar, formular y desarrollar una doctrina que asegure el éxito a largo plazo" (Kvint, 2009). La estrategia corporativa involucra el responder a una pregunta clave: "¿En qué negocio deberíamos estar?" y la estrategia de negocios involucra la pregunta "¿Cómo deberíamos competir en este negocio?" En la teoría y práctica de la gestión hay diferencias, ya que la gestión operacional se preocupa en la mejorar de la eficiencia y control de los costos dentro de los límites establecidos por la estrategia de la compañía (Chaffee, 1985). Plan de ti/si Plan de TI/SI: Es importante entender que hay algunos axiomas fundamentales que todas las organizaciones de TI/SI deben reconocer: 1. Focalizarse en tratar de estar alineados con las necesidades del cliente y ofrecer servicios de calidad que exceden las expectativas. 2. Construir la información, aplicaciones, infraestructura y arquitecturas que soportan esos servicios. 3. Tener la organización correcta, los roles y recursos indicados, y los procesos que apoyen esos servicios. 4. Monitorear, medir y mejorar de forma continua. 5. Asegurar las actividades de gobierno, control del riesgo y cumplimiento de todo lo anterior Establecimiento de la estrategia ¿Dónde estamos hoy? Entendimiento de la organización ¿Qué necesitamos hacer de forma urgente? Diagnostico de tecnologia de informacion Plan de accion de corto plazo ¿A donde queremos estar? Analisis de brecha ¿Qué necesitamos hacer para llegar? Formulacion del plan estrategico Análisis de la Brecha: • Alineación estratégica con el Negocio • FODA de TI • Tendencias de TIC en el sector • Evaluación arquitectura de TI y Comunicaciones • Análisis de Riesgos y Seguridad • Análisis del Portfolio de Aplicaciones • Demandas y niveles de servicio • Planes de recupero, seguridad, capacidad • Reorganización de procesos o estructural • Planes de RR.HH y capacitación Objetivos Generales: El Plan Estratégico de TI/SI debe estar orientado hacia el logro de los siguientes objetivos generales: • Integrar los proyectos de Tecnología de Información con los planes estratégicos generales de la Organización. • Garantizar una administración de TI/SI ágil, eficiente e innovadora acorde con las tecnologías actuales y las que están por venir. • Responder más eficaz y rápidamente a los cambios de las necesidades de la empresa. • Resolver las cuestiones, falencias y observaciones que hayan sido detectadas tanto en forma interna como por auditorías externas. • Identificar las necesidades futuras (corto y mediano plazo) tanto a nivel organizativo, necesidad de recursos humanos, e infraestructura tecnológica, en función de los niveles previstos de servicio. • Definir las estrategias de arquitectura de TI, en lo relacionado con la evolución del mercado a nivel de tecnologías informáticas y comunicaciones, • Identificar los servicios y definir los niveles de calidad exigibles en los mismos • Fomentar el trabajo conjunto de todas las gerencias de la entidad para evitar la duplicación de sistemas de aplicación. • Basar los proyectos en estudios de factibilidad, y gestionarlos conforme a la metodología establecida por la PMO. • Asegurar un desarrollo evolutivo de la Tecnología de Información para toda la entidad. Planeamiento Estrategico en TI/SI Generación de Valor de las Inversiones de TI/SI. La generación de valor de negocio a partir de la TI (Business Value from IT – BVIT) se logra cuando las firmas consiguen generar mayores ingresos o bajar sus costos mediante inversiones en TI4, Con el fin de identificar las actividades más importantes en relación a la gestión de TI que deben ser conducidas tanto por los ejecutivos de TI como por sus pares en las unidades de negocio. A partir del análisis estadístico fue posible determinar que aquellas firmas que son mejores en generar valor de negocio a partir de la TI (BVIT) desempeñan significativamente mejor las siguientes cuatro actividades: Identificación de Necesidades, es decir, definen las iniciativas necesarias para apoyar negocio en el cumplimiento de sus metas Desarrollo de Aplicaciones, tales como adquisición, desarrollo y mantenimiento de sistemas información. • Estrategia Organizacional • Competencias Fundamentales • Crecimiento, Estabilidad, Reducción • Modelo de Negocio (centralización, descentralización) • Planes de Inversión • Reestructuraciones Funcionales • Análisis de la Brecha y Análisis del FODA • Actualización Tecnológica por Obsolescencia • Observaciones de Auditorias y Mejores Prácticas • Necesidad de reestructuración funcional • Identificación de Objetivos Estratégicos • Identificación de proyectos, servicios, procesos para cada objetivo estratégico. FASE 1 Comprension estrategica corporativa FASE 4 FASE 2 FASE 3 Analisis Gap y elaboracion de estrategias Analisis situacion actual TI Elaboracion del plan estrategico • Alineamiento Estratégico • Identificación de Fortalezas, Oportunidades, Debilidades, Amenazas de TI (FODA) • Recopilacion de informes y observaciones de auditorias • Estado actual de infraestructura y servicios • Proyectos ya iniciados • Demandas internas • Detalle del Plan Estratégico a 3 años • Detalle de cada proyecto dentro del Objetivo Estratégico • Proyectos estratégicos ordenados y priorizados • Análisis de los Riesgos e Impacto • Identificación de recursos y responsables • Presupuestos estimados Rediseño de Procesos de Negocio (BPR) /Cambio Organizacional, es decir, implantación de cambios en los procesos de negocio a consecuencia de iniciativas de TI. Gestión de TI, es decir, asegurar la unidad de TI opere efectiva y eficientemente. Gestión del riesgo de TI Los riesgos de TIC han estado presentes en la evolución de los diferentes modelos de negocio y reglamentaciones que han surgido a través del tiempo, lo que pone de manifiesto que cualquier riesgo tecnológico no puede ser analizado al margen del contexto organizacional dado su efecto dominó sobre sus procesos, metas y objetivos. Ello conlleva un proceso de articulación entre las actividades de riesgo organizacional y riesgo de TIC, y en particular [a] desarrollar iniciativas de [gobierno y gestión de riesgos de TI] (Valencia et al., 2016). Valencia et al., aclaran que “El concepto de gobierno y gestión de riesgos de TIC surge a partir de la noción de gobierno y gestión de TIC. Entendido el gobierno de TI, como un sistema por el que se dirige y controla la utilización actual y futura de las TIC” (2016). La gestión de TI, por su parte, “se centra en administrar e implementar la estrategia tecnológica del día a día, y su enfoque está más orientado al suministro interno de TI” (Valencia et al., 2016). Además, se define la gestión de TI como “el sistema de controles y procesos requeridos para lograr los objetivos estratégicos establecidos por la dirección de la organización” (Valencia et al.). Marco Teórico Metodología para la gestión de riesgos de TI Informe del Trabajo Final de Graduación 29 Como parte de su investigación, Valencia et al. concluyen que algunas fases son comunes en cualquier proceso de gestión de riesgos. Estos autores, afirman que las fases se pueden resumir en: Establecimiento del contexto. Identificación de riesgos. Análisis de riesgos. Valoración de riesgos. Plan de tratamiento de riesgos. Comunicación y consulta. Monitoreo. Estas fases, son congruentes con lo que se indica en las mejoresprácticas relacionadas a la gestión de riesgos de TI. Más adelante, en este mismo capítulo, se detalla lo indicado por dichas prácticas. Los apartados siguientes muestran algunos aspectos clave en la gestión de riesgos de TI, las principales diferencias con una gestión de riesgos organizacional y algunos principios importantes para un enfoque estructurado de gestión de riesgos de TI. 1. Aspectos clave en la gestión de riesgos de TI En (Kumsuprom, 2010), Se describen algunos aspectos clave para la gestión de riesgos de TI. En seguida se resumen dichos aspectos según lo indicado por este autor. Gestión de recursos humanos La gestión de riesgos de TI se encuentra inmersa en la estructura organizacional de la empresa o entidad en la que se desarrolle. Para garantizar una gestión de riesgos eficaz, la organización debe tener el conocimiento y establecer los procedimientos adecuados. Así mismo, la arquitectura organizacional, debe permitir que los colaboradores desempeñen sus responsabilidades en la gestión de riesgos de TI (Kumsuprom, 2010). Gestión de TI La importancia de la gestión de TI para una adecuada gestión de riesgos, radica en que la primera permite conocer los recursos y la capacidad de TI (Kumsuprom, 2010). Los recursos de TI están directamente ligados con el riesgo, pues pueden ser factores causantes de riesgo o bien, pueden verse afectados por la ocurrencia de riesgos. La capacidad de TI, por su parte, es un concepto al que se debe prestar atención en pro de disminuir el nivel de riesgo asociado. Gestión de la seguridad de la información La seguridad de la información, tanto física como lógica, es un aspecto relevante para la gestión de riesgos de TI. Permite asegurar que los datos y la información están protegidos con identificación/autenticación, autorización, confidencialidad, integridad y no repudio. Los controles de seguridad que establezca la organización son aliados importantes para la gestión de los riesgos; tanto aquellos asociados con vulnerabilidades propias de los activos como los que son causados por el hombre (Kumsuprom, 2010). Controles para riesgos de TI Tanto los controles que se haya establecido para los objetivos de negocio como los relacionados con los objetivos de TI, deben adaptarse al modelo de gestión de riesgos de TI. Adaptarse de manera que aseguren el diseño de políticas, procedimientos, prácticas y de una estructura organizacional que permita prevenir, detectar y corregir los riesgos de TI oportunamente (Kumsuprom, 2010). 2. Aspectos diferenciadores entre la gestión de riesgos general y la de TI Los activos objeto del análisis de riesgo y los parámetros utilizados para medir el impacto del riesgo, son los principales aspectos diferenciadores entre un proceso de gestión del riesgo organizacional y uno específico para la gestión de riesgos de TI (Valencia et al., 2016). En los apartados siguientes, se resume lo indicado por los autores al respecto de estos dos aspectos. Activos objeto del análisis de riesgo Según Valencia et al., los principales objetos que se debe considerar para el análisis de riesgos de TI son la información y los activos tecnológicos (2016). Sin embargo, estos autores indican que debido a la evolución que ha experimentado la función de TI en las organizaciones, se debe agregar el concepto de servicios de TI. Pues esta función ha pasado de gestionar simplemente recursos tecnológicos, a realizar una gestión integral de servicios que soportan los procesos de una organización (Valencia et al.). Del párrafo anterior es posible resumir que, para una gestión integral de riesgos de TI, el análisis debe considerar tres áreas fundamentales: la información, los activos tecnológicos y los servicios de TI. En congruencia con estas tres áreas, Valencia et al., proponen un modelo de 12 capas interdependientes que deben ser consideradas por una gestión integral de riesgos, ya que podrían generar un efecto dominó en caso de falla en alguna de ellas(2016). La Tabla 5 presenta las capas que, según (Valencia et al.), se debe considerar en el análisis de riesgos de TI. 1. Procesos de negocio. 2. Servicios de TI 3. Datos, información, conocimiento 4. Sistemas de información transaccionales 5. Sistemas de información de soporte 6. Motores de bases de datos 7. Sistemas operativos 8. Computadoras personales de escritorio e impresoras 9. Servidores 10. Centros de redes y cableado 11. Centros de cómputo 12. Sistemas de energía Parámetros para la medición del impacto Según (Valencia et al., 2016), el impacto de cualquier tipo de riesgo afecta directamente los objetivos de una organización, sin embargo, el impacto de los riegos de tecnología de información se mide generalmente en tres términos: Confidencialidad, Integridad y Disponibilidad. A continuación, se presenta un resumen de estos tres aspectos. Confidencialidad hace referencia la propiedad de la información dolo ser accesible a individuos, entidades o procesos que tengan la respectiva autorización y que requieran conocer dicha información (Valencia et al., 2016). Integridad es la propiedad de salvaguardar y garantizar la exactitud y la completitud de los datos (Valencia et al., 2016). Disponibilidad se refiere a que, tanto la información como los activos tecnológicos, deben estar disponibles en el momento en que así sea requerido por los procesos de negocio (Valencia et al., 2016). 3. Enfoque estructurado para la gestión de riesgos de TI El desarrollo de las tecnologías de información y comunicación, ha crecido dramáticamente para soportar los procesos de negocio (Kumsuprom, 2010). Esto da paso al surgimiento de estructuras de gestión como lo son las siguientes. Gobierno de TI Para la adecuada gestión del riesgo de tecnología de información, se debe contar con una estructura de Gobierno de TI, que sea parte integral del Gobierno Corporativo. Una estructura de gobierno de este tipo, es capaz de definir lineamientos y responsabilidades para la adecuada gestión de riesgos, así como un proceso de evaluación de controles. Además de velar por el alineamiento de la gestión de riesgos con las aspiraciones del negocio (Kumsuprom, 2010). Gobierno de seguridad de la información La seguridad de la información, no solamente es un tema técnico, también incluye aspectos relevantes para el negocio. Una estructura de Gobierno de Seguridad de la Información tiene entre sus principales funciones proveer a la organización de una estrategia general para la seguridad de la información (Kumsuprom, 2010). Dicha estrategia, según (Kumsuprom, 2010), debe incluir: El entendimiento de la información y de la seguridad de la información que son críticas para la organización. La revisión de la inversión en seguridad de la información para asegurar el alineamiento con la estrategia y el perfil de riesgo de la organización. Apoyar el desarrollo y la implementación de un programa integral de seguridad de la información. De acuerdo con (Kumsuprom, 2010) el liderazgo, así como los procesos organizacionales son fundamentales en el gobierno de seguridad de la información y sus principales beneficios son: Mayor previsibilidad y menor incertidumbre en las operaciones de negocio mediante la reducción del riesgo relacionado con la seguridad de la información a niveles aceptables. Aseguramiento de una política efectiva de seguridad de la información y del cumplimiento de dicha política. Una base sólida para la gestión eficiente y efectiva de riesgos, la mejora en el proceso y la rápida respuesta a incidentes relacionados con seguridad de la información. ITSM El impacto de las nuevas tecnologías de la información y la comunicación en las empresas hoy en día hace necesario que dispongan de una adecuada gestión de estos servicios. La importancia IT dentrode los distintos procesos empresariales implica que la conexión entre IT y la estrategia de negocio se realice correctamente, combinando la tecnología con los procesos y las personas. Qué es ITSM ITSM (Information Technology Service Management) o la gestión de servicios de tecnología de la información, es un enfoque estratégico orientado a la implementación, gestión, monitorización y mejora de los servicios IT de una empresa. ITSM es una metodología que pone el foco en el cliente y está orientada al servicio. ITSM vs. ITIL vs. DevOps El marco de trabajo de TI adecuado genera una colaboración y una supervisión efectivas. Como tal, muchas organizaciones se encuentran defendiendo ITSM/ITIL o DevOps. Pero comprometerse completamente con un enfoque u otro puede ser problemático. ITSM/ITIL y DevOps no son mutuamente excluyentes. Cada uno tiene sus propios objetivos y funciones. Aquí, proporcionamos definiciones de alto nivel de cada uno, así como una mirada a cómo se relacionan entre sí: https://www.ambit-bst.com/blog/itsm-clave-estrategica-transformacion-digital https://www.ambit-bst.com/blog/itsm-clave-estrategica-transformacion-digital ITSM ITSM es un enfoque estratégico para la gestión de TI que se centra en ofrecer valor a los clientes. ITSM define claramente los roles y responsabilidades de cada individuo y departamento con respecto a los servicios de TI. Permite aumentar la productividad, reducir los costes y mejorar la satisfacción del usuario final. ITIL ITIL es un marco para la gestión de servicios de TI que proporciona las prácticas recomendadas detalladas para que las funciones de TI se alineen con los resultados comerciales de una organización. ITIL significa biblioteca de infraestructura de TI. ITIL es uno de los diferentes marcos de prácticas recomendadas para ITSM, que proporciona las herramientas y técnicas necesarias para proporcionar servicios de TI de manera efectiva. El marco ITIL ha pasado por varias iteraciones y la última se conoce como ITIL 4. DevOps Similar a ITIL, DevOps es un marco de TI. Pero, donde ITIL ayuda a optimizar la gestión de servicios centrándose sobre todo en la satisfacción del cliente, DevOps es una filosofía para el desarrollo y la entrega de TI. Une a los equipos de desarrollo y operaciones con el objetivo de mejorar la comunicación y la colaboración dentro de una organización. DevOps permite la entrega continua de aplicaciones, gastos reducidos, ciclos de desarrollo más cortos y una mejor cooperación entre departamentos. DevOps suele incorporar SRE (siglas en inglés de ingeniería de fiabilidad del sitio), que respalda aún más los objetivos de DevOps al permitir que los ingenieros automaticen las tareas operativas y aborden la gestión de incidentes. ¿Por qué ITSM es importante? Las tecnologías de la información ahora abarcan e incorporan tareas y responsabilidades de toda la organización. La gestión de estos servicios es un desafío continuo y los clientes esperan que las empresas estén a la altura de la tarea. Las empresas dependen de ITSM para coordinar de manera efectiva estas casi innumerables tareas y procesos, al tiempo que se aseguran de entregar un valor real al cliente. Ya que la gestión de servicios de TI (ITSM) es una colección de políticas y procesos para la gestión y el soporte de servicios de TI (a lo largo de todo su ciclo de vida), ITSM ayuda a mejorar la eficiencia de una empresa y a aumentar la productividad de los empleados. Beneficios de ITSM ITSM es el puente que conecta a los profesionales de TI dentro de una organización con los usuarios finales que necesitan servicios de TI. Al hacerlo, ofrece una serie de beneficios. Aquí hay varias ventajas de usar ITSM: Beneficios para las empresas Mayor agilidad Adáptate rápidamente a los cambios y a la innovación. Costes reducidos Visualiza fácilmente los flujos de trabajo, lo que se traduce en una mayor eficiencia y ahorros de costes. Menos problemas de TI y mejor respuesta https://www.servicenow.es/products/itsm.html Disminuye los problemas de TI y responde a los incidentes rápidamente, reduciendo el coste y la interrupción asociados. Cumplimiento sencillo Garantiza el cumplimiento de los requisitos reglamentarios. Mejor servicio Mejora las tasas de satisfacción de los usuarios finales. Beneficios para TI Mayor productividad Los objetivos alineados respaldados por servicios fiables garantizan que se haga más con menos problemas. Mayor satisfacción del usuario Se ofrece TI como un servicio con las necesidades del usuario como el centro de atención principal. Mejor escalado de procesos Los procesos son más eficaces, lo que permite a las organizaciones manejar más desarrollo de TI sin reducir la calidad. Respuestas y detección de incidentes más rápidas Las organizaciones más rápidas disfrutan de una visibilidad de TI mejorada, identificando incidentes y respondiendo rápidamente antes de que se conviertan en un problema. Beneficios para los empleados Mejor soporte de TI Soporte de TI 24 horas al día, 7 días a la semana para un rendir y producir más. También disfrutan de una comprensión más clara de los servicios de TI disponibles y de cómo utilizarlos correctamente. Experiencia omnicanal Accede a información relevante y realiza solicitudes de asistencia desde cualquier dispositivo, en cualquier momento y desde cualquier lugar del mundo. Roles y responsabilidades más claras Los equipos pueden comprender quién es responsable de qué tareas y son más responsables y están más informados. Mejor alineación empresarial Visibilidad de lo que la empresa y los usuarios finales necesitan y por qué. Eficiencias de ITSM Un beneficio importante de ITSM es su capacidad para mejorar la eficiencia de TI. ITSM lo hace de las siguientes maneras: Uso eficaz de recursos escasos de TI El paraguas de ITSM abarca toda la gama de servicios de TI para un enfoque más eficaz. Flujo de trabajo del proceso El flujo de trabajo del proceso automatizado mejora la colaboración y elimina muchas tareas manuales. ITSM reduce y optimiza muchas tareas de los empleados, dándoles más tiempo para concentrarse en la estrategia y los clientes. Ahorra tiempo y dinero ITSM identifica y elimina problemas recurrentes y promueve una resolución de problemas más rápida. Esto reduce los costes, tanto en términos de inversión de tiempo como de dinero. Reduce la inactividad Una respuesta de TI más rápida y una mejor gestión de la disponibilidad significan que tus recursos siempre estarán trabajando para mejorar tu empresa. Prevé los problemas antes de que ocurran Crea respuestas eficaces y personalizadas para problemas específicos de TI. Informes esclarecedores La automatización de informes hace que el proceso de informes sea más rentable y preciso. Gestión de incidentes basada en servicios ITSM te permite identificar problemas potenciales y responder a ellos antes de que puedan causar problemas graves. Aumento de la visibilidad y la respuesta a incidentes Recupere rápidamente los problemas críticos de TI ITSM proporciona las estrategias y los recursos para capear incluso los peores temporales de TI y luego recuperarse rápidamente. Bibliografía Alex Armando Torres Bermúdez, H. A. (2016). Modelo de Gestión y Gobierno de Tecnologías de. Caso Instituciones de Educación Superior en el Departamento del Cauca. Chaffee, E. (1985). “Three models of strategy”. London: Academy of Management Review. Kvint, V. (2009). The Global Emerging Market: Strategic Management and Economics. Miami: Routeledge. Nag, R., Hambrick, D., & Chen. (2012). «What is strategic management, really? Inductive derivation of a consensus definition of the field». Miami: M-J Editions.
Compartir