GOBIERNO DE TI Fundamentos del Gobierno no d de TI basados en ISO/IEC 38500 Por:Haris Hamidovic, CIA Traducido por: René Vladimir Contreras eras, MBA, CISA el pasado los ejecutivo tivos de negocios podían delegar, ignorar o evitar vitar las decisiones de TI, ahora esto es imposible ible en la mayoría de los sectores e industrias (3). El gobierno es un proceso mediant iante el cual una junta de directores, a través de la ggerencia, guía una institución en el cumplimiento nto de su misión corporativa y protege sus activos. os. Un gobierno efectivo ocurre cuando la junta ta d de directores plantea una guía adecuada a la aadministración considerando la dirección estraté ratégica para la institución y supervisa los esfuerzos zos de d la gerencia para moverse en esta dirección (2). A través de los años, TI (Tecno cnologías de la información) se ha convertido en el elemento fundamental de los negocios hasta sta el punto que sería imposible para muchos operar erar sin ella.TI ya no se encuentra separada de la org organización, es un elemento esencial de esta última. ima. Mientras en La dependencia crítica ca sobre s la tecnología de información hace un llamado llam para enfocar de manera específica ell go gobierno de TI con el propósito de asegurar que las inversiones en esta área generen el valor requerido requ para el negocio y que los riesgos asociados os con c TI sean mitigados (6). El objetivo principal de este e artículo es facilitar una introducción a los elementos clave del gobierno de TI, a los marcos ma de referencia más importantes usados por las organizaciones y facilitar principios quee guíen gu a los directores de estas últimas hacia un n u uso eficiente, efectivo y aceptable de las tecno cnologías de información basado en ISO/IEC 38500 500:2008 (7). Este debería asistir a los miembross de la junta de directores para comenzar a cumpl mplir las obligaciones con respecto al uso de TI en n su sus organizaciones. ¿Cuál es el alcance ce del d Gobierno de TI? ISACA BOGOTA CHAPTER L a presencia de un efectiv ctivo sistema de gobierno corporativo, en u una compañía individual y a través dee una u economía como un todo, ayudaa a proveer un grado de confianza que ue es necesario para la apropiada func función de una economía de mercado (1). Un descuido de la junta ta de d directores en relación con las actividades de TI es peligroso, esto origina en riesgo a la organizació ación de la misma manera que lo haría una falla en el proceso de auditoría contable (4). De hecho, o, el e Bank for International Settlements (BIS) ha anota notado que los miembros de las juntas directivas en instituciones i financieras deberían direccionar TI como co un aspecto más de su agenda estratégica (5). 4 El segundo se alcanza haciendo de la responsabilidad algo inherente a la organización. Ambos necesitan ser soportados por recursos adecuados y medidos con el propósito de asegurar el logro de los objetivos. Esto conduce a las cinco principales áreas que rigen el gobierno de TI, todas apalancadas por el valor de las distintas partes interesadas (stakeholders). Dos de ellas son resultados: la entrega de valor y la gestión de riesgos. Tres de ellas son facilitadores: alineamiento estratégico, gestión de recursos (los cuales se sobreponen entre ellos) y medición del desempeño. El gobierno de TI es también un ciclo de vida continuo (8). El gobierno de TI es distinto de la administración de TI. El gobierno determina quién toma las decisiones. La administración es el proceso de toma de decisiones y su implementación (9). El gobierno de TI es el encargado de tomar las decisiones más importantes, quien posee la información clave y provee un adecuado direccionamiento para la implementación de esas decisiones. Esto no es un sinónimo de la administración de TI. El gobierno de TI está relacionado con la toma de decisiones correctas, mientras la administración de TI hace referencia a la toma y la implementación de decisiones específicas de TI (10). Marcos de referencia para el gobierno de TI Los expertos sugieren marcos de referencia detallados y dirigidos a apoyar la implementación de acciones por parte de la gerencia media. Tales documentos son conocidos como marcos de referencia para el gobierno de TI. Algunos de los más frecuentemente citados son: (11) • COBIT (12) • IT Infrastructure Library (ITIL) (13) • ISO/IEC 27001 (14) Aunque están caracterizados como “Marcos de referencia para el gobierno de TI”, algunos de ellos son marcos de referencia hechos para la administración (15). Esos marcos de referencia no son alternativas de tratamiento para los mismos aspectos. COBIT es un marco de referencia para el gobierno de TI y es un conjunto de herramientas de apoyo que permiten a los gerentes de TI encadenar los conceptos asociados a los requerimientos de control, los aspectos técnicos y los riesgos de negocio. COBIT habilita el desarrollo de políticas claras y buenas prácticas para el control de TI en las organizaciones. Hace énfasis en el cumplimiento regulatorio, ayuda a las organizaciones a incrementar el valor que ha alcanzado TI, habilita el alineamiento y simplifica la implementación del marco de referencia COBIT (16). ITIL es esencialmente una serie de documentos que son usados para ayudar en la implementación de un marco de referencia para la administración de los servicios de TI. Este marco de referencia, que se puede personalizar, define cómo la administración del servicio es aplicada en una organización. Aunque ITIL fue originalmente creado por la Agencia de Telecomunicaciones y Computación Central (CCTA, por sus siglas en inglés), una agencia del gobierno del Reino Unido, hoy en día está siendo adaptado y usado alrededor del mundo como un estándar de facto para las mejores prácticas en la provisión de servicios de TI. Aunque ITIL cubre un número de ISACA BOGOTA CHAPTER El IT Governance Institute (ITGI) establece, que fundamentalmente el Gobierno de TI se encarga de dos cosas: la entrega de valor de TI al negocio y la mitigación de los riesgos de TI. El primero se logra a través del alineamiento estratégico de TI con el negocio. 5 áreas, su principal foco está en la administración de servicios de TI (17). • Principios para el buen gobierno corporativo de TI Como un ejemplo de la creciente importancia del gobierno de TI, ISO liberó en 2008 un nuevo estándar mundial, cuyo objetivo fue proporcionar un marco de referencia de principios dirigido a los directores cuando evalúan, dirigen y monitorean el uso de TI en sus organizaciones. En este estándar, ISO presenta seis principios para el gobierno de TI (19): • Responsabilidad: los individuos y los grupos en la organización entienden y aceptan sus responsabilidades con respecto al suministro y la demanda de los servicios de TI. Aquellos con la responsabilidad sobre ciertas acciones, también tienen la autoridad de desarrollarlas. • Estrategia: la estrategia de negocio de la organización tiene en cuenta las actuales y futuras capacidades de TI, los planes estratégicos para TI satisfacen las necesidades actuales y en marcha de la estrategia de negocio de la organización. • Adquisición: las adquisiciones de TI son efectuadas por razones válidas, sobre la base de un análisis apropiado y dinámico, con toma de decisiones transparentes y claras. Existe un apropiado balance entre beneficios, • • ISO/IEC 38500 recomienda que los directores debieran gobernar a través de tres principales tareas: • Evaluación del uso actual y futuro de TI. • Preparación directa e implementación de planes y políticas para asegurar que el uso de TI se ajusta a los objetivos del negocio. • Monitoreo de la conformidad de las políticas y el desempeño en relación con lo planeado. Implementación del gobierno de TI Las organizaciones implementan sus esquemas de gobierno a través de un conjunto de mecanismos de gobierno: estructuras, procesos y comunicaciones (20). Mecanismos de gobierno bien diseñados, entendidos y transparentes promueven comportamientos deseables de TI. En contraste, si los mecanismos son implementados de una manera inadecuada, entonces los esquemas de gobierno fallarán en el propósito de alcanzar los resultados deseados. Un gobierno efectivo adopta tres diferentes tipos de mecanismos: ISACA BOGOTA CHAPTER ISO/IEC 27001:2005 es un estándar que establece los requerimientos de un sistema de gestión de la seguridad de la información. Este ayuda a identificar, gestionar y minimizar el rango de amenazas a las cuales está expuesta regularmente la información. Está diseñado para asegurar la selección de controles adecuados que protejan los activos de información y brinden confianza a las partes interesadas, incluyendo los clientes de la organización (18). oportunidades, costos y riesgos tanto en el corto como en el largo plazo. Desempeño: TI se ajusta al propósito de apoyar a la organización y proveer los servicios, los niveles de servicios y la calidad de servicio necesarios para alcanzar los requerimientos actuales y futuros del negocio. Conformidad: TI cumple con todas las regulaciones y la legislación. Políticas y prácticas están claramente definidas, implementadas y señaladas con carácter obligatorio. Conducta humana: políticas, prácticas y decisiones de TI demuestran respecto por la conducta humana, incluyendo las necesidades actuales y de evolución para toda la “gente en el proceso”. 6 • • Estructuras de toma de decisiones: unidades organizacionales y roles responsables de la toma de decisiones, tales como comités, equipos ejecutivos y gerentes de relaciones entre las instancias de negocios e TI. Procesos de alineamiento: procesos formales para asegurar que las conductas del día a día son consistentes con las políticas de TI y proporcionan elementos de juicio para la toma de decisiones. Allí se incluyen los procesos de evaluación y propuesta de inversiones en TI, procesos de excepción en arquitectura, acuerdos de niveles de servicio y métricas. Enfoques de comunicación: comunicados, recomendaciones, canales y esfuerzos de educación que difundan los principios y políticas del gobierno de TI y los resultados de los procesos de toma de decisiones de TI. ¿Qué preguntas deberían surgir? El presidente de la Sociedad Australiana de Computación, Richard Hogg, dijo: Así como los gerentes de tecnologías de información y comunicaciones (TIC) hoy en día necesitan fortalecer sus habilidades para obtener un mejor entendimiento de los procesos y las estructuras de negocios, en la misma medida se solicita su apoyo; así, las juntas de directores deben otorgar mayor importancia a los aspectos relacionados con las TIC. Las juntas de directores deben aprender qué preguntas plantear acerca del gobierno de las TIC . . . delegar el gobierno de las TIC a niveles gerenciales es señal de un gobierno corporativo pobre. Las TIC son una parte integral de su negocio y el gobierno de las TIC es una parte integral del gobierno corporativo (21). Hacer preguntas sólidas es una forma efectiva para dar inicio a la implementación del gobierno de TI. Por supuesto, los responsables del gobierno esperan buenas respuestas a esas preguntas. Entonces ellos quieren acción, necesitan seguimiento. Es esencial determinar no solamente la acción sino también quién es el responsable de entregar qué y para cuándo (22). El Instituto Canadiense de Contadores (CICA, por sus siglas en inglés) liberó un folleto denominado “20 preguntas que los directores deberían hacer acerca de TI”, para asistir a los directores corporativos en el desempeño de sus responsabilidades. El documento también pretende ser una ayuda para los auditores y los comités de dirección de TI (23). Las preguntas indican claramente que la responsabilidad principal recae sobre la administración con relación a la implementación de los procedimientos necesarios. Los miembros de la junta de directores necesitan determinar que la administración ha adoptados tales procedimientos. Además, si los directores quisieran ejercer un rol poco cuidadoso y atento a las actuaciones de la gerencia, ellos serían negligentes al confiar en los requerimientos y acciones de esta última, sin importar qué tan honesta y confiable pueda ser. Por consiguiente, algunas evidencias corroborativas serían esenciales. Los directores deben determinar que los procedimientos se han adoptado, que son apropiados y deben obtener una evidencia corroborativa (24). Conclusión La madurez del gobierno de los activos clave varía significativamente en las organizaciones hoy en día. Los activos físicos y financieros son típicamente los mejor gobernados, y los activos de información aparecen entre los peor gobernados. Sin embargo, el gobierno de TI debería ser una parte integral del gobierno corporativo. Plantear preguntas apropiadas es una forma efectiva de dar inicio a la implementación del gobierno de TI. Los miembros de las juntas de directores deben aprender qué preguntas plantear acerca del gobierno de TI. Entonces, ellos necesitan buenas ISACA BOGOTA CHAPTER • 7 • • Referencias • • • • • • • • • (1) Organización para la Cooperación y el Desarrollo Económico (OCDE), los Principios de Gobierno Corporativo de la OCDE, Francia, 2004. (2) Rock, Raquel, María Otero, Sonia Saltzman, Principios y Prácticas de Gobernabilidad de microfinanzas, ACCION International, EE.UU., en agosto de 1998. (3) Van Grembergen, Wim; Dehaes Steven; aplicación gobierno Tecnologías de la Información: Prácticas y Modelos, Casos y Publicaciones de IGI, EE.UU., 2008. (4) Nolan, Richard; McFarlen F. Warren, "Tecnología de la Información y la Junta de Directores", Harvard Business Review, 01 de octubre 2005. (5) Banco de Pagos Internacionales (BPI), "Mejora de la gobernanza empresarial en Organizaciones Bancarias", septiembre de 1999, se hace referencia en el IT Governance Institute (ITGI), Liberación de valor: un Primer Ejecutivo sobre el Papel Fundamental de Gobierno de TI, EE.UU., 2008. (6) Opcit, Grembergen Van y Dehaes de 2008 (7) Organización Internacional de Estándares (ISO) y la Comisión Electrotécnica Internacional (IEC), ISO / IEC 38500:2008, la gobernanza corporativa de tecnología de la información, 2008, www.iso.org/iso/catalogue_detail.htm?csnum ber=51639 (8) ITGI, Informe de la Junta de Gobierno de TI, 2da edición, EE.UU., 2003. (9) Weill, Pedro, Juana Ross; Gobierno de TI: Cómo gestiona la alta dirección las decisiones • • • • • • • • • • • • en TI para obtener mejores resultados, Prensa de Negocios de Harvard, EE.UU., 2004. (10) Broadbent, Marianne, "Significado de gobernabilidad de TI", CIO de Canadá, 01 de abril 2003. (11) Musson, David, "La gobernabilidad de TI: Una revisión crítica de la literatura," Gobernanza y Gestión de Tecnologías de la Información de servicio: Marcos y adaptaciones, Ed. AileenCater-Steel, Referencia de Ciencias de la Información, EE.UU., 2009. (12) ITGI, COBIT, 1996-2007, www.isaca.org / COBIT. (13) Oficina de Comercio de Gobierno, IT Infrastructure Library (ITIL) V3, Reino Unido, 2009. (14) ISO y la IEC, ISO / IEC 27001, la información Técnicas de seguridad de tecnología de información, sistemas de gestión de la seguridad-Requisitos de 2005, www.iso.org/iso/catalogue_detail?csnumber= 42103. (15) Van Bon, Jan; Arjen de Jong, Axel Kolthof; Pieper Mike; Tjassing Ruby, van der VeenAnnelies; VerheijenTieneke, Fundamentos de la Gestión de Servicios TI basada en ITIL ® V3, Editorial Van Haren, Países Bajos, 2007. (16) ISACA, www.isaca.org / COBIT (17) Gestión de Servicios de Zona, www.itil.org.uk (18) BSI Management Systems, www.bsiemea.com (19) Opcit, ISO / IEC 38500:2008 (20) OpcitWeill, y Ross (21) Australia ComputerSociety (ACS), "Destaca ACS Necesidad de una mejor gobernanza de las TIC", comunicado de prensa, 05 de marzo 2002. (22) Opcit, ITGI, 2003 Canadá (23) Canadian Institute of Chartered Accountants (CICA), "Administración 20 Preguntas que deben hacer al respecto", de 2004. ISACA BOGOTA CHAPTER respuestas a esas preguntas y deben requerir acción. El siguiente paso es implementar esquemas de gobierno a través de un conjunto de mecanismos de gobierno tales como estructuras, procesos y comunicaciones. 8 • (24) Trites, Gerald, "Director de Responsabilidad de Gobierno de TI", Revista Internacional de Sistemas de Información de Contabilidad, vol. 5, número 2, julio de 2004. El autor Hamidovic es un experto certificado en Tecnología de Información por parte del Ministro Federal de Justicia de Bosnia y Herzegovina. Traducción René Vladimir Contreras, MBA, es certificado CISA y actualmente es auditor de sistemas en COPIDROGAS. ISACA BOGOTA CHAPTER HarisHamidovic está certificado CIA, y es actualmente CISO (Chief Information Security Officer) en Microcredit Foundation EKI ubicada en Sarajevo, Bosnia y Herzegovina. Hamidovic se ha desempeñó también como especialista de TI en la Organización para el Tratado del Atlántico Norte (NATO, por sus siglas en inglés), donde lideró la Fuerza de Estabilización (SFOR, por sus siglas en inglés) en Bosnia y Herzegovina. Es el autor de cuatro libros y más de sesenta artículos para publicaciones relacionadas con negocios y tecnología. 9 View publication stats