Resumen Ejecutivo de la propuesta - Alineación COBIT - ITIL - ISO 27002
La necesidad de un marco de trabajo en las organizaciones se está evidenciando cada días más debido al crecimiento en la adopción de las buenas prácticas y de ahí surge la necesidad de crear un marco que alinee tres factores importantes como son el control de objetivos estratégicos, los servicios y la seguridad de la información.
La idea es poder armonizar, implementar y sobretodo integrar el negocio, la alta gerencia y las áreas de la organización en especial TI.
PORQUE
Hoy hay un alto impacto en los factores de riesgos, continuidad del negocio orientado a la prestación de servicios y el cumplimiento de los objetivos estratégicos por ello los gerentes necesitan:
· Garantizar y asegurar mejores retornos de inversión
· Disminuir los gastos generados por TI
· Conocer los riesgos que están relacionados con la seguridad de TI
· Adoptar marcos de referencia de control y supervisión de objetivos para incrementar el valor del negocio
· Medir el desempeño de sus procesos y servicios respecto a los estándares adoptados
Para ello, las organizaciones deben enfrentar desafíos y ojala estén guiadas por los estándares o buenas prácticas ya que deben:
· Empezar a crear cultura organizacional sobre los objetivos, necesidades y beneficios del negocio con el uso de buenas prácticas
· Orientar las buenas prácticas a la mejor toma de decisiones de manera que puedan integrase con las políticas y procesos internos de la organización.
QUIEN
La idea es que todos en la organización se interesen por la adopción de marcos de referencia que les permita crecer en equipo. Por tanto los implicados en este proceso de buenas prácticas son:
· Quienes toman las decisiones estratégicas de la organización
· Quienes utilizan los servicios de TI y quienes lo administran y operan
· Quienes están a cargo de los procesos y actividades de TI
· Quienes son responsables de la seguridad, el riesgo y la continuidad
· Quienes brindan funciones de cumplimiento
· Quienes dirigen la organización
Es claro que para poder brindar un buen servicio a los clientes es necesario involucrarlos en el negocio de forma en que la relación se fortalezca y se colaboren entre sí.
El uso de TI tiene el potencial para ser el mayor impulsor de riqueza económica en el siglo 21. Además de que TI ya es crítica para el éxito empresarial, proporciona oportunidades para obtener una ventaja competitiva y ofrece medios para incrementar la productividad, e incluso hará aún más en el futuro. TI también implica riesgos.
Es evidente que en estos días de negocios globales, la caída de los sistemas y las redes puede resultar muy costosa para cualquier empresa. En algunas industrias, TI es un recurso competitivo necesario para diferenciarse y obtener una ventaja competitiva, mientras que en otras, no sólo determina la prosperidad sino la supervivencia[1]
Entonces las organizaciones necesitan contar con un marco de referencia general que les permita gestionar eficazmente sus recursos, sus inversiones y asegurar los resultados de manera exitosa apuntándole a la consecución de la estrategia organizacional.
COBIT
Cobit tiene sus bases en marcos como CMM pero no incluye tareas y procesos porque COBIT fue creado para estar orientado a los procesos de TI con enfoque en la gestión y controles de los objetivos de la empresa siempre pensando en lo que se tiene que hacer pero sin preocuparse a ese nivel por el cómo.
Cobit está orientado al negocio y diseñado para satisfacer a los auditores, usuarios y proveedores pero manejado por la alta gerencia.
COBIT se basa en los criterios de:
- · Efectividad
- · Eficiencia
- · Confidencialidad
- · Integridad
- · Disponibilidad
- · Cumplimiento
- · Confiabilidad
Estos criterios son suficientes para COBIT para satisfacer los objetivos del negocio y muchos de estos criterios son principios básicos de otros framework como ITIL e ISO/IEC 27002.
ISO/IEC 27002 e ITIL V3
ITIL está basado en definir procesos para la gestión del servicio mediante un contexto estratégico y de negocios que facilite la toma de decisiones para la alta gerencia. Para ellos ITIL se basa en el mejoramiento continuo del servicio generando así valor a los usuarios finales.
El objetivo de ITIL es precisamente ofrecer tanto a los proveedores como receptores de servicios TI de un marco que facilite todas estas tareas y procesos. Como principios básicos ITIL toma los principios de la gestión del servicio como son:
· Coordinación y especialización como garantía de comunicación con el proveedor en cuanto a los recursos y a los mismos implicados.
· Principio de agencia en donde se crean intermediarios entre el cliente y el proveedor para la correcta prestación del servicio.
· Encapsulamiento se basa en la utilidad y garantía del servicio y no en los detalles de la prestación del mismo
El Gobierno TI es parte integrante del Gobierno Corporativo y como tal debe centrarse en las implicaciones que los servicios e infraestructura TI tienen en el futuro y sostenibilidad de la empresa asegurando su alineación con los objetivos estratégicos e ITIL es conjunto de buenas prácticas para la administración del servicio más no para la gestión del Gobierno de TI pero con la convicción de que los servicios de TI en próximos años realizaran desarrollos en terrenos relacionados directamente con el Gobierno de TI.
ITIL toma como principios para trabajar:
Figura 2. Principios Básicos ITIL
ISO/IEC 27002
Para ISO/IEC 27002 y en general para las organizaciones de los activos más importantes en la organización es la información y el aseguramiento de la misma se vuelven objetivo primordial y para la adecuada gestión de la seguridad de la información, se hace necesario poder implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización.
En cuanto a la gestión de la seguridad de la información permite crear, implementar, operar, supervisar, revisar, mantener y mantener los sistemas de gestión de seguridad de información mediante requisitos de control que vayan debidamente documentados. Además permite realizar auditorías internas de control y cumplimiento más eficientes y aterrizados a los intereses del negocio, además de permitir la gestión de un proceso continuo de revisión y mejora por parte de la dirección
Figura 3. Ciclo PHVA – Principio Básico de ISO/IEC 27002
Con el uso de los tres dominios identificados se crea un nuevo framework enfocado en servicios, seguridad y control de objetivos para soportar y acompañar el Gobierno de TI de la mano con las buenas prácticas. GOITA 1.0, Gobierno alineado de IT (Government IT Alignment).
Este framework cuenta con áreas de enfoques implícitas en el Gobierno de TI:
Figura 4. Enfoque de Gobierno GOITA
Estas tres áreas son las directamente implicadas en la ejecución de la alineación de TI de manera que puedan organizar, administrar, y supervisar los distintos procesos y actividades diarias.
Figura 5. Descripción áreas de Enfoque GOITA para Gobierno de TI
Lógicamente, al implementar unas buenas prácticas seguramente el gobierno será un gobierno más efectivo ya que el marco de trabajo brindas las herramientas para controlar, armonizar y alinear los procesos con cada área y con el negocio mismo.
No cabe duda que la utilización de estándares y buenas prácticas facilitan mucho el trabajo en cuanto a tiempos de retraso presentados frecuentemente y en cuanto a nuevos enfoques y requerimientos de implementación por el continuo crecimiento de las tecnologías de información dentro de la organización pero también se debe tener claro que al adoptar buenas prácticas y marcos de trabajo como referencia para el avance en el negocio es indispensable la compatibilidad con la gestión de riesgos y de control utilizados en la empresa ya que deben poder integrarse o fusionarse si es necesario pero dependiendo finalmente de la implementación.
Claves para aplicar buenas prácticas en la organización
· Cambio en la formar de administrar
· Concientización del personal en cuanto al qué se debe hacer, cómo hacerlo y por qué es importante.
· Utilización de un lenguaje común, fácil y practico
Tener claro el enfoque orientado a las necesidades del negocioEtapas del Modelo
1. Elaboración
2. Priorización
3. Planificación
4. Supervisión
5. Alineación
Figura 6. Modelo de implementación de GOITA
Niveles de Madurez
Los modelos de madurez para el control de los procesos de TI consisten en desarrollar un método de puntaje de modo que una organización pueda calificarse a sí misma desde inexistente hasta optimizada (de 0 a 5). Algunos modelos han sido derivados del Modelo de Madurez que el Software Engineering Institute definió para la madurez de la capacidad de desarrollo de software.
7. Modelo de Madurez GOITA
El marco de gobierno alineado GOITA, está compuesto por 3 dominios esenciales y con 24 procesos distribuidos en los 3 dominios que facilitaran el control de objetivos, la administración de los servicios de TI y la gestión para la seguridad de la información.
Dentro de cada proceso se cuenta con la descripciones del mismo, entradas y salidas y una matriz RACI que ilustra los distintos profesionales de la organización y sus responsabilidades al interior de está.
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos y servicios que requieren ser administrados. Normalmente se ordenan dentro de dominios. Dentro del framework GOITA, estos dominios, como se muestra en la Figura 25, se definen así
8. Dominios GOITA
Los procesos de GOITA representan todos los procesos que normalmente se encuentran en las funciones de TI, proporcionando un modelo de referencia general y entendible para la gerencia de operaciones de TI y para la gerencia de negocios.
Conclusión
Luego de lo expuesto se puede mencionar como conclusión final que existe una problemática en cuanto a cómo se debe manejar la gestión de las Tecnologías en las empresas; Los diferentes marcos de trabajo aportan valiosas guías que pretenden solucionar dichos problemas. Sin embargo, se debe tener claro cuáles estándares son más útiles de acuerdo con las necesidades de las compañías de qué manera se pueden integrar los que se usen.
Estos estándares son la base para lograr un buen Gobierno de TI, A su vez, este buen gobierno permitirá alcanzar las metas planteadas en relación con las inversiones en TI, la gestión de los riesgos, recursos y alineamiento estratégico.
Se puede diseñar un marco de Gobierno que adopte elementos valiosos de diferentes frameworks previamente identificados. Y si bien estos marcos pueden servir como base para cierto tipo de empresas con características claras y específicas, es claro que cada organización debe, de manera particular, tomar el o los frameworks que considere apropiados y adaptarlos a sus necesidades puntuales.
Dado que hoy en día la búsqueda de una buena gestión de las TI constituye una meta y la vez un reto cada vez mayor, se hace necesario que el área de TI Indique los factores de éxito de la organización, de esta manera, se logrará identificar plenamente el valor que esta área ofrece más allá de facilitar y agilizar las operaciones de la organización
[1]. Alineando Cobit 4.1, ITIL V3 e ISO/IEC 27002 en beneficio del negocio. Un reporte para la Gestión del ITGI y OGC
[2]. COBIT 4.1 IT Governance Institute – Learning the IT Governance Community
[3]. ISO/IEC 27002
[4]. ITIL V3
[5]. ITIL: El manual de las buenas prácticas de TI. David Marchal, 14 de Diciembre de 2008. http://www.datati.es/itil-el-manual-de-las-buenas-practicas-de-ti/
[6]. Mapping of ITIL V3 with Cobit 4.1
[7]. Revisado Noviembre 26 de 2010 http://www.tgti.es/?q=node/44
[8]. Revisado Diciembre 12 de 2010 http://www.tgti.es/?q=search/node/itil%20v3%20 %20libro%203%20%20transicion%20del%20servicio
[9]. Revisado Diciembre 28 de 2010 http://www.monografias.com/trabajos67/estandar-internacional/estandar-internacional2.shtml
[10]. Revisado Enero 3 de 2010 http://www.acis.org.co/fileadmin/Conferencias/ISO27001alineadoconITILCOBIT.pdf
[11]. Revisado Enero 3 de 2010 http://translate.google.com/translate?hl=es&langpair=en|es&u=http://www.cioindex.com/it_governance/articleid/1681/integrating-three-major-it-governance-frameworks-cobit-itil-and-iso-27002.aspx
[12]. Revisado Enero 4 de 2010 http://translate.google.com/translate?hl=es&langpair=en|es&u=http://technet.microsoft.com/en-us/library/bb821261.aspx
No hay comentarios:
Publicar un comentario