Revista Estándares para el Gobierno de TI

Autores:

CUELLO CHOURIO JOHN JOSE

Wilber Jesus Cuello Cabrera

URDANETA ARAUJO JENNY COROMOTO

ALAN AMIN-GOB SANABRIA ARRIETA

MELÉNDEZ BERTI JESÚS PASTOR

ESPITIA CORDERO JHONNY ALFONSO

Buen Gobierno TIC

¿Qué es? La norma ISO/IEC 38500, publicada en Ju-nio de 2008 es un nuevo estándar internacional para el Gobierno Cor-porativo de las Tecno-logía de la Información.

Esta norma define el buen gobierno de las TI como el sistema usado por la alta di-rección de la organiza-ción para controlar el uso presente y futuro de las TI en la organi-zación, de manera que se consigan los planes y objetivos de la misma

¿A quién afecta?

ISO/IEC 38500, como la mayoría de las normas de gestión ISO, es aplicable a entidades de todos los tamaños y sectores, incluidas las empresas públicas y privadas, adminis-traciones públicas, etc.

¿Para qué sirve? La ISO/IEC 38500 completa otros están-dares de gestión de TI, tales como la ISO 27001 y la ISO 20000, añadiendo una capa de gestión superior, estra-tégica a la que contem-plan estas normas, cuyo enfoque es más ope-rativo. Por decirlo de otro modo, la ISO/IEC 38500 establece cómo se deben hacer las co-sas para que se puedan gestionar las TI de ma-nera eficaz y eficiente. Las normas de gestión establecen qué debe hacerse, cómo debe ha-cerse y quién debe eje-cutar las acciones nece-sarias para llevar a cabo la estrategia definida.

¿Qué implicaciones tiene?

La Norma se basa en que la alta dirección evalúe, dirija y siga el uso que se hace de las TI en sus organizaciones de

manera que:

Si la norma es seguida de manera adecuada, las partes implicadas (directivos, con-sultores, ingenieros, provee-dores de hardware, auditores, etc.), puedan confiar en el gobierno corporativo de TI.Haya canales apropiados para informar y orientar a los di-rectores que controlan el uso de las TI en su organización.Haya una base para la eva-luación objetiva por parte de la alta dirección de la ges-tión de las TI. Para conse-guirlo, la norma establece los seis principios básicos para el buen gobierno de las TI:Responsabilidad. Asignar responsabilidades a perso-nas competentes y con auto-ridad para tomar decisiones.Estrategia. Alinear las ac-tividades de TI con los ob-jetivos de negocio, bus-cando el beneficio de la organización y asegurarse de que se obtiene dicho beneficio.Adquisición. Invertir en TI de manera eficiente.Rendimiento. Proporcionar la capacidad de TI necesaria para que el negocio funcio-ne adecuadamente, se gestio-nen los riesgos y se protejan los recursos, midiendo cómo TI presta soporte al negocio.

Ventajas de su apli-cación

Los beneficios que proporciona la apli-cación de esta Nor-ma son principal-

mente:

Contribuir eficazmente a que las TI mejoren el rendi-miento de la organizaciónGestión adecuada de los riesgos y las inversio-nes que requiere la TIFomentar la utilización de estándares apropia-dos para implementar el buen gobierno de TILa utilización de los seis principios proporcio-na a los directores me-dios para ponderar los riesgos y las oportu-nidades del uso de TIProporcionar un marco para garantizar la con-formidad legal y regla-mentaria del uso de las TI

on el propósito de integrar o relacionar todos los marcos e iniciativas de Isaca (Val IT, Risk IT, BMIS, ITAF y Board Briefing), así como conectar con el resto de iniciativas y estándares aceptados en la comunidad TI (ITIL, ISO, etc.), se está preparando CoBIT 5. Aunque, a priori, es una buena noticia la in-tegración de los diferentes marcos y metodologías, será difícil tener un único mar-co de trabajo que nos sirva para todo, dada la compleji-dad de los aspectos de la Go-bernanza de TI. Deberemos esperar hasta principios del año que viene para poder evaluar todas las noveda-des que aporta al Gobier-no de TI el nuevo CoBIT 5.Como conclusión no pode-mos mencionar que haya una metodología mejor que otra. De acuerdo con los expertos, sencillamente he-mos de decir que hay buenas prácticas que deben ajus-tarse a las necesidades de

INTRODUCION La importancia que las TI han alcanzado hoy en día es enorme. Ha dejado de ser una herramienta de soporte y/o un área accesoria para convertirse en algún totalmente necesario para cualquier empresa.Hoy en día es impensable concebir una empresa que no use las tecnologías de la información para la gestión del día a día; desde las formas más básicas como el uso de una hoja Excel o del correo electrónico hasta implantaciones de inteligencia de negocios y minería de datos.Pero de cualquier modo, son muchos los problemas que se presentan al ges-tionar estas Tecnologías de la Información, principalmente en el sentido de cómo lograr que las TI conlleven a una ventaja para la organización, como ha-cer que las TI sean una inversión con retorno y no solamente un gasto necesario.Es por ello que se han creado en la industria diversos marcos de trabajo y mejores prácticas que buscan eliminar estas problemáticas. Estas mejores prácticas se han convertido en estándares de la industria, tales es así que su implantación se ha convertido en los últimos años en una necesidad para aquellas empresas que deseen gestionar las TI adecuadamente y lograr ventajas de negocio de las mismas.

Los problemasComo se mencionó anteriormente, los problemas al gestionar las TI son diver-sos y en distintas materias. De ellos, se rescatan los principales a continuación:Mala gestión de proyectos TIToda iniciativa de TI que se desee implementar se debe gestionar como un pro-yecto, es decir: bajo un cronograma, presupuesto y recursos determinados. Sin embargo, no siempre estos proyectos acaban según lo esperado o planificado.Para tener una idea de la problemática a la que nos enfrentamos en la ges-tión de proyectos, se tienen los siguientes datos (Fuente: Chaos):• Más de 16 millones de personas están involucradas en proyectos en el mundo• Solamente el 16.2% de los proyectos son exitosos• El 31% de los proyectos son cancelados antes de su terminación, costando millones de dólaresLo que nos muestra estos datos es la falta de cultura de gestión de proyectos; es decir: a pe-sar de las grandes inversiones que se ponen sobre la mesa para la ejecución de proyectos, no se ha tomado total conciencia aun de la importancia de una adecuada gestión de proyectos.Para poder resolver esta problemática hay que prime-ro identificar el porqué del fracaso de estos proyectos:• Falta de compromiso y apoyo de la alta direcciónSi la Alta Dirección no brinda el soporte necesario para la consecución de un proyec-to estratégico para la compañía, este estará destinado al fracaso. Tal vez pueda ter-minarse dentro de costos y tiempo especificados y logrando los entregables con el ni-vel de calidad requerido, pero sin la involucración de la Alta Gerencia se corre el riesgo de que el producto final de dicho proyecto se conviertan en un “elefante blanco”, es decir, que nunca nadie los use o que no se ajusten a las necesidades reales de la organización.Esto se da justamente por la falta de involucramiento de la Alta Gerencia. Es reco-mendable que al menos un miembro de la Alta Gerencia esté involucrado ya sea como sponsor o como un stakeholder principal dentro del proyecto. Esto garan-tizaría que el proyecto se adecue a los lineamientos y necesidades de la compañía.• Toma de requerimientos y definición de alcance equivocado o incompletoUn paso que muchas veces se obvia o que no se le brinda la debida importancia es la toma de re-querimientos, lo cual es la actividad central para la posterior definición del alcance del proyecto.Según un estudio realizado por Clive Finkelstein (el padre de la Ingenie-ría de la Información), más del 65% de los problemas que se presentan los proyec-tos de desarrollo de software, se deben a la mala recopilación de los requerimientos.

Gestión de servicios inadecuada

La infraestructura de TI (hardware y aplicaciones de software) de toda empresa tie-ne una sola finalidad: dar el soporte necesario para poder obtener beneficios tangibles, ba-sados en la información. Por ello los servicios que dicha infraestructura ofrezca ya sea a los empleados de la organización o a los clientes externos de la misma, deben brindar-se de la manera más óptima posible, en términos de velocidad, calidad y disponibilidad.Por ejemplo: las aplicaciones empresariales usadas por las distintas áreas de la compa-ñía deben estar disponibles cuando estas se necesiten. De no ser así, el problema debe re-solverse lo más rápido posible para minimizar las consecuencias de dicho problema.Lo que vemos en muchas compañías es que esta gestión de los servicios de TI se hace de manera des-organizada, sin un esquema de trabajo y sin ningún tipo de métricas ni metas específicas por cumplir.La falta de conocimiento de las modelos de gestión de servicio es una causa importante en la manera como estos servicios se vienen gestionando de manera improvisada. Esto, junto con la carencia de una visión proactiva y a futuro de la continuidad de los servicios de TI puede con-vertir a la Gestión de servicios de TI en un elemento de discordia dentro de la compañía. Re-cuerde que cada error o caída de alguno de los servicios de TI que no es atendida debidamente genera incomodidades en los empleados o usuarios externos, erosionando así la confiabilidad y satisfacción no sólo externa sino también la confiabilidad y satisfacción interna de la compañía.Otras consecuencias del mal manejo de los servicios TI son:

• Imposibilidad de obtener métricas adecuadas de los servicios• Servicios TI cada vez con más problemas e incidencias repetitivas• Saturación de los servicios TI sin previo aviso

Falta de procesos de control y

monitorización La única manera de cono-cer si la infraestructura de TI está siendo bien gestionada es midiendo su rendimiento en relación a metas previamen-te definidas. No medición de cumplimiento de metas técnicas de TI sino también valorando como estas medi-ción colaboran para el cum-plimiento de los objetivos de negocio de la compañía.Si no se conoce el estado de los servicios, infraestructu-ra e inversiones en TI, será imposible tomar las medi-das catalizadoras o correc-tivas pertinentes, lo cual conlleva indefectiblemente a una carencia de eficien-cia y eficacia en todos los procesos de la organizaciónEstablecer un marco de tra-bajo sobre el cual se de-finan objetivos, metas y métricas específicas es el elemento que ayudará a eliminar este problema

Métodos de desa-rrollo de software

inadecuados Como se mencionó ante-riormente, la mala gestión de los requerimientos de un pro-yecto de software represen-tan alrededor del 65% de los problemas en gestión de pro-yectos. Pero no solo hay que gestionar correctamente el proyecto para lograr un resul-tado positivo para la empre-sa, sino que también hay que aplicar las técnicas adecuadas para el desarrollo de software.Un problema común es el de tratar de seguir al pie de la letra una metodología de sof-tware determinada. La idea de que una sola metodología debe ser usada para todos los proyectos de una compa-ñía no es del todo acertada. Cada proyecto de software es diferente, cada uno tie-ne alcances, presupuestos y tiempos distintos. Por ende, usar una sola metodología para todos no es lo más óptimo.

Falta de alinea-miento estratégi-co para las inicia-

tivas TIOtro clásico problema en cuanto al gobierno de las TI en general, es la falta de visión de negocio. Es decir, la existencia de un divorcio entre los objetivos a los que la organización apunta y los objetivos a los que TI apunta.Con un divorcio como este, las TI más que colaborar con los objetivos de negocio de la compañía, estarán dificultan-do la consecución de dichos objetivos.Una investigación realizada el 2003 por Pricewaterhou-seCoopers muestra los 10 principales problemas que las compañías enfrentaban en ese entonces respecto al gobierno de las TI

Inversiones en TI que no generan beneficios tangibles Un aspecto complementario al alineamiento que debe existir entre negocio y TI, y respecto al control y monitorización del gobierno de las TI, es el aspecto financiero. Toda iniciativa o proyecto se ejecuta con la finalidad de obtener algún tipo de beneficio que se debe cuantificar en términos de dinero.Dicho esto, a continuación se presentan algunos datos obtenidos de di-versos estudios realizados respecto a las inversiones realizadas en TI:• El 20% de todos los gastos en TI son desperdiciados, lo que representa a nivel glo-bal un valor de $600 billones de destrucción de valor al año (Estudio de Garner, 2002)• Según un estudio del 2004 de IBM realizado a las compañías Fortune 1000, los CIOs reportaron que 40% de los gastos en TI no generaron ningún valor a la compañíaEstos datos son realmente alarmantes en términos del valor que se pierde con las inversiones he-chas en TI. Y esto nos conlleva justamente a la raíz del problema: las inversiones en TI han sido un tabú, nunca se ha medido dichas inversiones en términos financieros y no hay cultura por hacerlo.Es por ellos que uno de los cuatro problemas principales a los que se enfrenta las or-ganizaciones, es la percepción de una baja rentabilidad de las inversiones en TI de alto coste. Más aun, más del 30% de los CIOs de las compañías Fortune 1000 indi-can un rendimiento negativo de las inversiones en TI destinadas a aumentar eficiencia.No tratar a las inversiones en TI dentro de un portafolio de inversiones y al contrario, tratarlas como un componente aislado dentro de la compañía es el factor principal para este problema.Por ello, se hace necesario de un marco de trabajo adecuado que gestione dichas inversiones en TI de manera profesional. De esta manera las inversiones en TI entregaran verdadero va-

Gobierno de TI

Que tan importante es la gobernabilidad de las tecnolo-gías de información en la organización.

Actualmente todas las organizaciones están utilizando la Tecnología de la Información (TI) en sus modelos y procesos de negocio. Es por eso que el concepto de la gobernabilidad de las tecnologías de información, o Gobierno de TI está tomando mayor interés en la organización, siendo esto un subconjunto de la disciplina Gobernabilidad Corporativa enfocada a los siste-mas correspondientes a las tecnologías de información y, a la gestión de su performance y ries-gos. Un aspecto fundamental que tiene que ver con la Gobernabilidad TI es que los sistemas de información ya no pueden ser considerados como cajas negras. Hoy tanto los directores de las empresas, como sus ejecutivos y personal deben tener un conocimiento respecto a cuáles son sus funciones y como generan la información. También hay que tener en claro que la estrategia de TI debe ser parte fundamental de la estrategia del negocio. No se puede separar a una de la otra.

En los últimos tiempos está sonando con fuerza el término “Gobierno de TI” incorporando una nueva perspectiva a la visión que sobre las TI se tiene en las organizaciones en lo que respecta a la dirección, estrategia, decisiones y supervisión del estado actual y futuro del uso de TI, es decir, una visión desde el negocio frente a la visión desde la tecnología. Visto desde el negocio, la responsabilidad del Gobierno de TI debería recaer entre la alta dirección (Consejo de Admi-nistración) y el Director de Sistemas de Información (CIO). Para ello los CIO’s deberán ser más gestores y menos tecnólogos, alineándose con los objetivos de sus empresas. El Gobierno de TI deberá alinear proyectos tecnológicos con los objetivos estratégicos de la organización, asegu-rando el resultado prometido, un resultado económico y una obtención de ventajas competitivas.

Para un buen Gobierno de TI, éste debe apoyarse en un marco de estándares y normas de com-portamiento para garantizar que la unidad de TI soporte los objetivos de negocio de la organiza-ción. A estas alturas del siglo XXI nadie duda que la implantación de Buenas Practicas como ITIL, Cobit, PMI, CMMI o Six Sigma haya contribuido a la mejora en la Gestión y gobierno de las TI. Cada año vemos como cada vez hay más empresas certificadas en normas de Gestión de Servicios de TI como ISO-20000 o normas de Gestión de la Seguridad de la Información como ISO-27000.

El proceso de implantación de gobierno de TI asiste a los diferentes niveles de la or-ganización con un modelo que le ayuda en la implementación de sus necesida-des de Gobierno TI, usando CobiT identifica qué componentes de CobiT deben ser mejorados desde las necesidades iniciales hasta la implantación de la solución.A continuación en el siguiente cuadro se verá el mo-delo de implementación a utilizar para el gobierno TI:

Ahora bien, podemos reforzar la implementación de gobierno de TI con la siguiente Normas ISO 38500 que hace más énfasis sobre Gobierno de TI. Un breve resumen sobre esta norma (ISO 38500) que tiene que ver con Gobierno de TI. Es sistema mediante el cual se dirige y controla el uso actual y futuro de las TI (Plan de negocio _ Plan de TI).Norma que se base en 6 principios fundamentales: Responsabilidad, Estrategia, Adquisición, Rendimiento, Conformidad y Conducta humana. La dirección de TI, ha de gobernar las TI mediante 3 tareas principales: ü Evaluar ü Dirigir ü Monitorizar

Con la implementación de esta norma puede tener los siguientes beneficios: · Establecer un modelo para el gobierno de las TI, basado en dirigir, monitorizar y evaluar.· Contar con un estándar sobre los 6 principios establecidos anteriormente para la eficacia, eficiencia y uso aceptable de las TI.· Establecer con el estándar que las organizaciones realicen un adecuado estudio de riesgos y evalúan nuevas oportunidades en el uso de las TI.· Entre otros. En conclusión se puede decir, que si es importante un gobierno de TI dentro de cualquier organización, para el logro de sus objetivos. Para esto se puede apoyar con metodología como Cobit y el estándar ISO 38500.

Hoy en día, casi todas las organizaciones están utilizando la Tecnología de la Informa-ción (TI) en sus modelos y procesos de negocio. Si ya eran importantes las áreas de tecno-logía, con la irrupción de las tecnologías móviles y el “cloud computing” se han convertido actualmente en un área clave para cualquier organización. Hasta hace poco la alta direc-ción de las organizaciones y empresas no veía el valor para el negocio en los caros siste-mas que se instalaban y a menudo se hablaba de la pobre rentabilidad de la inversión en TI.En los últimos tiempos está sonando con fuerza el término “Gobernanza de TI” incorporando una nueva perspectiva a la visión que sobre las TI se tiene en las organizaciones en lo que respec-ta a la dirección, estrategia, decisiones y supervisión del estado actual y futuro del uso de TI, es decir, una visión desde el negocio frente a la visión desde la tecnología. Visto desde el negocio, la responsabilidad del Gobierno de TI debería recaer entre la alta dirección (Consejo de Admi-nistración) y el Director de Sistemas de Información (CIO). Para ello los CIO’s deberán ser más gestores y menos tecnólogos, alineándose con los objetivos de sus empresas. El Gobierno de TI deberá alinear proyectos tecnológicos con los objetivos estratégicos de la organización, asegu-rando el resultado prometido, un resultado económico y una obtención de ventajas competitivas.Para un buen Gobierno de TI, éste debe apoyarse en un marco de estándares y normas de comportamiento para garantizar que la unidad de TI soporte los objetivos de negocio de la organización. A estas alturas del siglo XXI nadie duda que la implantación de metodo-logías como ITIL, MOF o Six Sigma han contribuido a la mejora en la Gestión de TI. Año tras año vemos como cada vez hay más empresas certificadas en normas de Gestión de Ser-vicios de TI como ISO-20000 o normas de Gestión de la Seguridad de la Información como ISO-27000. Ahora bien, ¿existen Normas y Metodologías para apoyar el Gobierno de TI?