Hoy en día es impensable concebir una empresa que no use las tecnologías de la información para la gestión del día a día; desde las formas más básicas como el uso de una hoja Excel o del correo electrónico hasta implantaciones de inteligencia de negocios y minería de datos.
Pero de cualquier modo, son muchos los problemas que se presentan al gestionar estas Tecnologías de la Información, principalmente en el sentido de cómo lograr que las TI conlleven a una ventaja para la organización, como hacer que las TI sean una inversión con retorno y no solamente un gasto necesario.
Es por ello que se han creado en la industria diversos marcos de trabajo y mejores prácticas que buscan eliminar estas problemáticas. Estas mejores prácticas se han convertido en estándares de la industria, tales es así que su implantación se ha convertido en los últimos años en una necesidad para aquellas empresas que deseen gestionar las TI adecuadamente y lograr ventajas de negocio de las mismas.
1. COBIT
COBIT (Control Objetives for Information and related Technology) es el estándar generalmente aceptado que brinda buenas prácticas para gestión y control de las TI. El marco de trabajo de COBIT tiene un triple enfoque:
Enfocado al management: Puesto que provee a la Administración de una base de mejores prácticas con las cuales se pueden tomar decisiones de TI e inversión.
Enfocado a los usuarios de IT: Debido a la seguridad que les brinda para el control de objetivos y procesos
Enfocado a auditores: Debido a que permite identificar problemas de control de TI dentro de la infraestructura de TI de la compañía.
COBIT está conformado por cuatro dominios, cada uno de los cuales están organizados en procesos (34 en total) que su vez se sub-dividen en actividades y objetivos de control
Planificación y organización: Que está compuesta por todas las actividades que definen las estrategias y táctica de TI basado en los objetivos de negocio de la empresa. Se define además la infraestructura de TI adecuada y necesario
Adquisición e implementación: Donde se encuentran las actividades para la ejecución del plan de TI previamente definido.
Entrega y soporte: Dominio que comprende la entrega de los servicios requeridos y el establecimiento de procesos de soporte.
Monitoreo y evaluación: Donde se realizan las actividades de inspección y monitoreo de los procesos de TI.
Los procesos de estos dominios de COBIT se implantan dentro de las políticas y especificaciones de requerimientos de negocio, determinados por los criterios de la información, los cuales establecen los niveles de rendimiento en cada uno de los siguientes aspectos:
· Eficiencia
· Eficacia
· Confidencialidad
· Integridad
· Disponibilidad
· Conformidad
Estos criterios deben ser tomados en cuanto al momento de ejecutar los procesos COBIT y al momento de monitorear los diversos recursos de TI con los que cuenta la compañía (aplicaciones, información, infraestructura y personas).
Estos nos dan un marco completo de trabajo para gestionar y controlar las TI y poder maximizar los beneficios de las TI para con la organización.
2. Gestión de proyectos con PMBOK
La gestión de proyecto basado en el marco de trabajo PMBOK, creado por el Project Management Institute PMI) es el modelo más difundido y aceptado para la gestión de proyectos en general (no solo proyectos de TI).
Dicho modelo se basa en un conjunto de buenas prácticas divididas en 9 áreas de conocimiento, cada una de las cuales se sub-divide en actividades (siendo 44 en total).
Lo importante de este modelo es que nos brinda un esquema de trabajo para gestionar cada aspecto de un proyecto: desde gestión del alcance hasta gestión de las adquisiciones.
Es importante mencionar también que cada organización debe determinar que partes del marco de trabajo de PMBOK es aplicable a la compañía. Esto dependerá de la envergadura y nivel de detalle y control que se deseen tener de cada proyecto. Por ello, se debe pensar en PMBOK como un conjunto de lineamientos generales, de los cuales la organización se puede alimentar para establecer una metodología de trabajo propia.
3. CMMI
El modelo CMMI (Capacity Madurity Model Integrated) es una fusión de modelos de mejora de procesos e ingeniería del software. Constituye una forma de medir el grado de madurez de las organizaciones respecto a la aplicación de las mejores prácticas de desarrollo y gestión del software
El objetivo de CMMI es establecer una guía que permita a las organizaciones mejorar sus procesos y su habilidad para organizar, desarrollar, adquirir y mantener productos y servicios informáticos
Son cinco los niveles de madurez que establece CMMI:
Nivel 0: Incompleto
El proceso no se realiza, o no se consiguen sus objetivos
Nivel 1: Inicial o ejecutado
Este es el nivel en donde están todas las empresas que no tienen procesos: es donde el proceso se ejecuta y se logra su objetivo, así sea fuera de presupuesto y de cronograma.
En este nivel de madurez, el desarrollo del proyecto es totalmente opaco, no se sabe lo que pasa en él
Nivel 2: Repetible
Se da cuando el éxito de los resultados obtenidos se puede repetir
La principal diferencia entre este nivel y el anterior es que el proyecto es gestionado y controlado durante el desarrollo del mismo, se decir: además de ejecutarse, el proceso se planifica, se revisa y se evalúa para comprobar que cumple los requisitos.
El desarrollo no es opaco y se puede saber el estado del proyecto en todo momento.
Nivel 3: Definido
Significa que la forma de desarrollar proyectos está definida, establecida, documentada y que existen métricas (obtención de datos objetivos) para la consecución de objetivos concretos
Nivel 4: Administrado
Los proyectos usan objetivos medibles y cuantificables para alcanzar cubrir las necesidades de los clientes y la organización. Es decir, se usan métricas para gestionar la organización.
Nivel 5: Optimizado
Los procesos de los proyectos y de la organización están orientados a la mejora de las actividades, que mediante métricas son identificadas, evaluadas y puestas en práctica.
La mayoría de las empresas que llegan solo hasta el nivel 3, ya que es un nivel con el cual muchas empresas no ven la necesidad de ir más allá. Por otro lado, normalmente las empresas que intentan alcanzar los niveles 4 y 5, lo realizan simultáneamente ya que están muy relacionados.
Cabe acotar nuevamente que el objetivo principal de estos niveles de madurez es lograr un nivel de estandarización adecuado para cada compañía respecto a sus procesos de desarrollo de software, con la finalidad de gestionar los proyectos de software adecuadamente y así lograr cumplir con los objetivos planificados para dicho proyecto. Es importante recordar también que lo primordial no es lograr la certificación de los procesos de la organización sino lograr una institucionalización de dichos procesos estandarizados que conlleven a la realización de los objetivos definidos.
4. TOGAF
La Arquitectura Empresarial (AE) busca hacer más productiva y competitiva una organización a través del uso de la tecnología como herramienta de ejecución e integración de sus procesos. Pero para que la AE sea posible es necesario adelantar una serie de pasos que abarquen desde el diagnóstico hasta la guía de implementación de los nuevos sistemas de información; por esta razón existen metodologías estándar que ayudan a las organizaciones en su proceso de adopción de AE.
TOGAF, de las siglas en inglés 'The Open Group Architecture Framework', es una de las metodologías más populares para desarrollar AE. "TOGAF es una herramienta para asistir en la aceptación, creación, uso, y mantenimiento de arquitecturas. Está basado en un modelo iterativo de procesos apoyado por las mejores prácticas y un conjunto reutilizable de activos arquitectónicos existentes", según lo define la 'Guía de bolsillo TOGAF V. 9.1.1'.
The Open Group es la organización multilateral global que integra a más de cien entidades públicas y privadas, con el interés de "trabajar por establecer estándares y certificaciones de TI, abiertos y neutrales, para una variedad de áreas críticas para las empresas". Con el aval del Gobierno de los Estados Unidos para utilizar como punto de partida su modelo de AE, en 1995 presentó el primer marco de referencia (framework) de TOGAF.
Según The Open Group, el 80% de las grandes organizaciones a nivel mundial ha adoptado TOGAF como marco de referencia para sus Arquitecturas Empresariales; así mismo, decenas de miles de personas en todo el mundo han recibido formación y certificación en el marco del programa 'Open CA'.
¿Qué es Arquitectura para TOGAF?
Uno de los conceptos clave para cualquier proceso de AE es la comprensión misma de la Arquitectura, ya que ésta determina, en parte, el enfoque desde el cual se adoptará el modelo. De acuerdo con la 'Guía de bolsillo TOGAF V. 9.1.1', la Arquitectura en TOGAF se entiende, según el contexto:
Una descripción formal de un sistema o un plano detallado del sistema al nivel de sus componentes para orientar su implementación.
La estructura de componentes, sus interrelaciones y los principios y guías que gobiernan su diseño y evolución a través del tiempo".
Método de desarrollo de la Arquitectura TOGAF
"La clave de TOGAF es el método - Método de Desarrollo de la Arquitectura (ADM por sus siglas en inglés) - para desarrollar una Arquitectura Empresarial que aborda las necesidades del negocio". El ADM de TOGAF funciona de modo iterativo, es decir, por fases que avanzan progresivamente pero que a la vez permiten la revisión y ajuste de cada una de ellas durante el proceso.
Ciclo del Método de Desarrollo de la Arquitectura
5. COSO
COSO Committee of Sponsoring Organization of the Treadway Commission (COSO): iniciativa para la mejora de control interno dentro de las organizaciones.
Control Interno se define como un proceso efectuado por la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos dentro de las siguientes categorías:
Eficacia y eficiencia de las operaciones.
Confiabilidad de la información financiera.
Cumplimiento de las leyes, reglamentos y normas (que sean aplicables).
Concepto
El informe como tal es un medio para alcanzar un fin y no un fin por sí. No es un evento o circunstancia sino una serie de acciones que permean las actividades de una organización. Es una cadena de acciones extendida a todas las actividades inherentes a la gestión e integradas a los demás procesos básicos de la misma, entre éstos: Planificación, Ejecución y Supervisión.
Componentes
De acuerdo al marco COSO, el control interno consta de cinco componentes relacionados entre sí; éstos derivarán de la manera en que la Dirección dirija la Unidad y estarán integrados en el proceso de dirección. Los componentes serán los mismos para todas las organizaciones (públicas o privadas) y dependerá del tamaño de la misma la implantación de cada uno de ellos, los componentes son:
· Ambiente de Control.
· Evaluación de Riesgos.
· Actividades de Control.
· Información y Comunicación.
· Supervisión y Monitoreo.
Ambiente de Control
El ambiente o entorno de control es la base de la pirámide de Control Interno, aportando disciplina a la estructura. En él se apoyarán los restantes componentes, por lo que será fundamental para concretar los cimientos de un eficaz y eficiente sistema de Control Interno. Marca la pauta del funcionamiento de la Unidad e influye en la concientización de sus funcionarios.
Los factores a considerar dentro del Entorno de Control serán: La Integridad y los Valores Éticos, la Capacidad de los funcionarios de la Unidad, el Estilo de Dirección y Gestión, la Asignación de Autoridad y Responsabilidad, la Estructura Organizacional y, las Políticas y Prácticas de personal utilizadas.
Evaluación de Riesgos
Cada Unidad se enfrenta a diversos riesgos internos y externos que deben ser evaluados. Una condición previa a la Evaluación de Riesgo es la identificación de los objetivos a los distintos niveles, los cuales deberán estar vinculados entre sí.
La Evaluación de Riesgos consiste en: La identificación y el análisis de los riesgos relevantes para la consecución de los objetivos, y sirve de base para determinar cómo deben ser gestionados. A su vez, dados los cambios permanentes del entorno, será necesario que la Unidad disponga de mecanismos para identificar y afrontar los riesgos asociados al cambio.
En la evaluación se deberá analizar que los Objetivos de Área hayan sido apropiadamente definidos, que los mismos sean consistentes con los objetivos institucionales, que fueran oportunamente comunicados, que fueran detectados y analizados adecuadamente los riesgos y, que se los haya clasificado de acuerdo a la relevancia y probabilidad de ocurrencia.
Actividades de Control
Las actividades de control son: Las políticas, procedimientos, técnicas, prácticas y mecanismos que permiten a la Dirección administrar (mitigar) los riesgos identificados durante el proceso de Evaluación de Riesgos y asegurar que se llevan a cabo los lineamientos establecidos por ella.
Las Actividades de Control se ejecutan en todos los niveles de la Unidad y en cada una de las etapas de la gestión, partiendo de la elaboración de un Mapa de Riesgos, de acuerdo a lo señalado en el punto anterior.
En la evaluación del Sistema de Control Interno no solo debe considerarse si fueron establecidas las actividades relevantes para los riesgos identificados, sino también si las mismas son aplicadas en la realidad y si los resultados obtenidos fueron los esperados.
Información y Comunicación
Se debe identificar, recopilar y propagar la información pertinente en tiempo y forma que permitan cumplir a cada funcionario con sus responsabilidades a cargo. Debe existir una comunicación eficaz -en un sentido amplio- que fluya en todas direcciones a través de todos los ámbitos de la Unidad, de forma descendente como ascendente.
La Dirección debe comunicar en forma clara las responsabilidades de cada funcionario dentro del Sistema de Control Interno implementado. Los funcionarios tienen que comprender cuál es su papel en el Sistema de Control Interno y, cómo las actividades individuales están relacionadas con el trabajo del resto.
Supervisión y Monitoreo
Los Sistemas de Control Interno requieren -principalmente- de Supervisión, es decir, un proceso que verifique la vigencia del Sistema de Control a lo largo del tiempo. Esto se logra mediante actividades de supervisión continuada, evaluaciones periódicas o una combinación de ambas.
Cómo utilizar el marco COSO en la valoración de los controles de TI
Mantener los controles apropiados sobre la tecnología de la información es una preocupación constante para las empresas, ya que acuden a los avances tecnológicos para impulsar la eficiencia y el crecimiento.
El Principio 11 del marco de control interno recién actualizado del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) ofrece directrices para la valoración de la efectividad de los controles sobre la TI.
El primer paso consiste en obtener un entendimiento de la tecnología en cuestión, incluyendo:
· La infraestructura TI y sus componentes;
· Los ámbitos de aplicación de ordenadores portátiles, dispositivos portátiles, y hojas de cálculo;
· Las aplicaciones TI tercerizadas a la nube y otros proveedores de servicio off-site; y
· Cómo se maneja la función de la tecnología a través de la entidad.
6. MEJORES PRÁCTICAS TI CON LA NORMATIVIDAD ISO
Para la gestión de servicios de TI, las mejores prácticas más populares son: ITIL (IT Infrastructure Library, biblioteca de infraestructura de TI) = Marco de referencia que describe un conjunto de mejores prácticas y recomendaciones para la administración de servicios de TI, con un enfoque de administración de procesos, basada en un ciclo de vida de cinco etapas (estrategia/requerimiento, diseño, operación, transición y mejora continua) y la norma ISO/IEC 20000.
Si bien ambas tienen el mismo enfoque, ITIL está enfocado en certificar a personas en su conocimiento de los procesos, mientras el estándar certifica que una organización cumple con todos los procesos especificados en la norma, para un servicio en particular.
En gestión de riesgos de TI, el estándar más utilizado es el ISO 31000, “un marco genérico para la gestión de riesgos de cualquier tipo que provee principios y guías genéricas para la gestión de riesgos”, en el campo de los riesgos, estos deben ser entendidos dentro del contexto de cada organización, pues varían según cada caso.
Para la gestión de seguridad de la información, el estándar más utilizado es ISO/IEC 27005, que enseña cómo proteger la información contra eventos que puedan afectar la confidencialidad, integridad y accesibilidad de la información corporativa sensible.
Finalmente, para la gobernanza de TI, que “consiste en el liderazgo, las estructuras organizacionales y los procesos que aseguran que las TI soportan y extienden las estrategias y los objetivos de la empresa”, destacan como mejores prácticas ISO/IEC 38500 –estándar internacional que proporciona un marco de referencia para los directores, cuando evalúan, dirigen y monitorean el uso de las TI en la empresa
CONCLUSIONES
La única razón para usar estos estándares y realizar una integración entre ellos, es para ayudar a la organización a cumplir sus objetivos de negocio.
Hay muchos estándares, y la lista seguirá creciendo; no todas pueden usarse en conjunto; esto crea retos de integración por resolver. Pero se pueden adaptar piezas de cada estándar y usarlo de manera personalizada en cada organización.
Por otro lado, no hay una manera única de hacerlo; no hay recetas mágicas para decidir que usar y como usarlo pero si hay guía y mucha documentación de ayuda y soporte. Cada compañía deberá elegir su propia “mix” de buenas prácticas según sus políticas, experiencia y capacidad.
Referencias bibliográficas
