Mejores Prácticas de TI

           Durante las últimas 2 sesiones estuvimos hablando sobre la tarea de Trend Topics que nos fue encomendada sin embargo se observo que la mayoría de las tareas no se habían normalizado es decir colocado en un rubro del 100% para poder mostrar su comprensión, en mi caso particular se denoto que a pesar de que sí estaba normalizada los 5 temas que grafiqué del correo laboral absorben casi el 100% de mi actividad diaria, posterior a la clase sobrepuse las gráficas y daban un 98% en algunos meses esto denota que en mi caso no recibo muchos spams o correos en los que no soy requerida y por tratarse de un área de soporte a la producción se reciben gran cantidad con incidentes productivos, cada uno tiene un nivel de gravedad distinto por lo cual no todos son prioritarios pero lo notable de eso es que no recibo un porcentaje mayor al 2% de correos fuera de mi área de trabajo.

En otra de las sesiones de clase se hablo sobre el tema del control en las organizaciones denotando que es importante controlar en todo momento lo que sucede en nuestra empresa y para esto se hace uso de las mejores prácticas las cuales nos proporcionan métricas para poder evaluar nuestro avance, claro que para que antes suceda todo esto es necesario conocer el nivel de madurez de la empresa principalmente para saber de qué punto vamos a partir y de ahí en adelante ir afinando cada detalle hasta llegar a un nivel óptimo de seguimiento de la práctica para entonces en un momento dado poder innovar.

Los integrantes de clase dimos nuestro punto de vista sobre los temas tratados y algunos coincidimos en que las mejores prácticas son eficientes pero deben de manejar un nivel de flexibilidad además de trabajar con la gente para lograr un cambio en la cultura que se tiene en cuanto a la resistencia al cambio se recomienda tener una buena comunicación con cada miembro de la organización, transmitir las actividades para lograr las metas pero no con términos rebuscados como normalmente escuchamos hablar a los altos directivos sino haciéndolo con un lenguaje sencillo y entendible para las personas a quienes se desea hacer llegar el mensaje. Es necesario que como líderes de una organización  se transmita información a los miembros de equipo cara a cara ya que esto hace que las personas nos sintamos parte de, y no solo un instrumento para llegar a cumplir metas que a veces no conocemos, motivando a la gente y recompensando de acuerdo a la dificultad de la implantación y a su impacto.

Para llevar a cabo lo anterior es necesario el uso de métricas ya que se dice que: “No se puede implantar lo que no se puede medir”, dichos valores nos ayudarán a llevar un control en el avance de implementación, se debe comenzar por entender el negocio.

Las áreas de enfoque para el gobierno de TI son:

IT Governance Institute. COBIT 4.1

Se investigo sobre algunos modelos de gobernabilidad existentes a implementar para poder integrar y explotar los grandes volúmenes de información que las organizaciones tienen y se anexan algunas con la finalidad de comprender y ejemplificar mejor en qué consisten:

v  Modelo COSO – Committee Sponsoring Organizations of the Tradeway Commission, USA, septiembre 1992

1.     Ambiente de Control

Es el elemento que proporciona disciplina y estructura. El ambiente de control se determina en función de la integridad y competencia del personal de una organización; los valores éticos son un elemento esencial que afecta a otros componentes del control. Entre sus factores se incluye la filosofía de la administración, la atención y guía proporcionados por el consejo de administración, el estilo operativo, así como la manera en que la gerencia confiere autoridad y asigna responsabilidades, organiza y desarrolla a su personal.

2.     Evaluación de riesgos

Es la identificación y análisis de los riesgos que se relacionan con el logro de los objetivos; la administración debe cuantificar su magnitud, proyectar su probabilidad y sus posibles consecuencias.

Se debe prestar especial atención a:

Ø  Los avances tecnológicos.

Ø  Los cambios en los ambientes operativos.

Ø  Las nuevas líneas de negocios.

Ø  La reestructuración corporativa.

Ø  La expansión o adquisiciones extranjeras.

Ø  El personal de nuevo ingreso.

Ø  El rápido crecimiento.

3.     Actividades de control.

Las actividades de control ocurren a lo largo de la organización, en todos los niveles y todas las funciones, incluyendo los procesos de aprobación, autorización, conciliaciones, etc. Las actividades de control se clasifican en:

ü  Controles preventivos.

ü  Controles detectivos.

ü  Controles correctivos.

ü  Controles manuales o de usuario.

ü  Controles de cómputo o de tecnología de información.

ü  Controles administrativos.

las actividades de control deben ser apropiadas para minimizar los riesgos

4.     Información y comunicaciones.

Se debe generar información relevante y comunicarla oportunamente, de tal manera que permita a las personas entenderla y cumplir con sus responsabilidades.

5.     Monitoreo.

Los controles internos deben ser “monitorizados” constantemente para asegurarse que el proceso se encuentra operando como se planeó y comprobar que son efectivos ante los cambios de las situaciones que les dieron origen. el alcance y la frecuencia del monitoreo dependen de los riesgos que se pretenden cubrir.

http://www.cancer.gov.co/images/dinamicas/meci.jpg

Por lo tanto los objetivos principales de la COSO en cuanto a control de las organizaciones de TI son:

1)     Asegurar las inversiones en TI, es decir que generen valor agregado.

2)     Aminorar los riesgos asociados a las TI.

v  Modelo COBIT 4.1 – Control Objectives for Information and Related Technology.

Los objetivos de control para la información y la tecnología relacionada (COBIT) brindan buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica. Las buenas prácticas de COBIT representan el consenso de los expertos. Están enfocadas fuertemente en el control y menos en la ejecución. Estas prácticas ayudarán a optimizar las inversiones habilitadas por TI, asegurarán la entrega del servicio y brindarán una medida contra la cual juzgar cuando las cosas no vayan bien.

Para que TI tenga éxito en satisfacer los requerimientos del negocio, la dirección debe implementar un sistema de control interno o un marco de trabajo. El marco de trabajo de control COBIT contribuye a estas necesidades de la siguiente manera:

ü  Estableciendo un vínculo con los requerimientos del negocio

ü  Organizando las actividades de TI en un modelo de procesos generalmente aceptado

ü  Identificando los principales recursos de TI a ser utilizados

ü  Definiendo los objetivos de control gerenciales a ser considerados

La orientación al negocio que enfoca COBIT consiste en alinear las metas de negocio con las metas de TI, brindando métricas y modelos de madurez para medir sus logros, e identificando las responsabilidades asociadas de los dueños de los procesos de negocio y de TI.

El enfoque hacia procesos de COBIT se ilustra con un modelo de procesos, el cual subdivide TI en 34 procesos de acuerdo a las áreas de responsabilidad de planear, construir, ejecutar y monitorear, ofreciendo una visión de punta a punta de la TI. Los conceptos de arquitectura empresarial ayudan a identificar aquellos recursos esenciales para el éxito de los procesos, es decir, aplicaciones, información, infraestructura y personas.

IT Governance Institute. COBIT 4.1

v  Modelo COBIT 5

COBIT 5 es un marco de trabajo de gobernanza y administración para la información y las tecnologías relacionadas, que tiene como objetivos:

Ø  Proporcionar una gobernanza y un marco de trabajo basado en COBIT 4.1, vinculando y reforzando los marcos de trabajo y guías más importantes de ISACA – Information Systems Audit and Control Association, tales como:

-        Val IT

-        Risk IT

-        Business Model for Information Security (BMIS)

-        IT Assurance Framework (ITAF)

Ø  Asimismo, vincularse con otros marcos de trabajo y estándares en el entorno, tales como:

-        ITIL

-        Estándares ISO

ISACA: http://www.isaca.org/Knowledge-Center/Research/Documents/COBIT5-Framework-ED-27june2011.pdf

1.     Integrator Framework

Proporciona una base para integrar con eficacia otros marcos de trabajo, estándares y prácticas utilizadas.

2.     Stakeholder Value Driven

Las empresas existen para crear valor para sus grupos de interés (Stakeholders), por lo que el objetivo de gobierno para cualquier empresa es la creación de valor mediante la obtención de beneficios a un costo óptimo de los recursos, así como una optimización de los riesgos.

3.     Business and Context Focussed

Tener un enfoque de negocios significa centrarse en las metas y los objetivos de la empresa. Esto se refiere al objetivo de cada empresa para la realización de beneficios, la optimización de recursos y del riesgo. Los beneficios son:

ü  Mayor valor a través de la creación de una gobernanza eficaz y la gestión de información de la empresa y los activos tecnológicos.

ü  Mayor satisfacción de los usuarios con los compromisos y los servicios de TI, vistos como un factor clave.

ü  Mayor cumplimiento de las leyes, reglamentos y políticas.

ü  La función de TI se hace más enfocada al negocio.

4.     Enabler Based

Además de los objetivos de gobierno, los otros elementos principales del enfoque de la gobernabilidad son los siguientes:

ü  Facilitadores de gobierno.- Son los recursos de la organización para el gobierno, como los marcos, principios, estructura, procesos y prácticas, por medio de los cuáles se dirige la acción y pueden alcanzarse los objetivos.
ü  Ámbito de gobierno.- El gobierno puede ser aplicado a toda la empresa, una entidad, un activo tangible o intangible, etc.
ü  Las funciones, actividades y relaciones.- Definen quién está involucrado en el gobierno, la forma en que están involucrados, lo que hacen y cómo interactúan, dentro del alcance de cualquier sistema de gobierno.

                                 ISACA: http://www.isaca.org/Knowledge-Center/Research/Documents/COBIT5-Framework-ED-27june2011.pdf

5.     Governance and Management Structured

El marco de trabajo hace una clara distinción entre gobierno y administración. estas dos disciplinas son diferentes tipos de actividades, requieren de estructuras organizativas diferentes y tienen objetivos diferentes.

ISACA: http://www.isaca.org/Knowledge-Center/Research/Documents/COBIT5-Framework-ED-27june2011.pdf

COBIT define la gobernabilidad de TI como la responsabilidad que tiene la dirección y los niveles superiores de la gerencia para asegurar que el sistema de Tecnologías de la Información (TI) de su organización apoyan en forma efectiva los objetivos y estrategia de la organización.