Professional Documents
Culture Documents
1 Introduccin
Los procesos de Gestin de TI son cada da ms importantes en las diferentes
organizaciones, es as como las Universidades, han venido avanzando tambin en
modelos de Gestin para las reas de tecnologa, es as como la Universidad
Pedaggica y tecnolgica de Colombia en el 2011, dio inicio al proyecto Adopcin de
Buenas prcticas de TI bajo los estndares ISO 20000 e ISO 27001 y los avances de
este proyecto se han venido presentando en las diferentes versiones de TICAL. En el
TICAL 2011 se present el inicio de este proyecto, ya que con el artculo nombrado
como VISION DE LOS BENEFICIOS DE IMPLEMENTAR SERVICIOS DE TI,
Fig. 1. Interaccin de TI con el Negocio. Fuente Juan Guillermo Leruga CEO Grupo
TEKNE. Argentina.
Tacuar 163 2 B
www.it-quality.com.ar
3. Perceptions of Enterprise IT
and its Governance
donde una de las preguntas buscaba evidenciar como se observaba la contribucin de
TI al Negocio. En la Figura 2 la
tendencia
de las respuestas
a los items pregunatdsos.
Figure
3Contribution
of IT to the Business
IT investments create
value for the business.
38
21.6
IT supports the
business strategy.
55.8
15.6
32.6
IT enables rapid
business change.
53.4
26.1
0%
Agree
3.4
16.5
40%
Strongly agree
18.8
53.8
20%
2.4
10.6
45.7
28.5
IT supports business
regulation and compliance.
7.3
52.3
60%
Neither/nor
80%
3.6
100%
Strongly disagree/
Disagree/Dont know
Se puede
observar
quepercentages
mas del 80%
en laand
mayoria
de los that
acasos
estuvo
totalmente
Figure
4 lists the
of business
IT respondents
selected
Strongly
agree or Agree for each
of IT contribution
thede
business.
de acuerdodimension
o de acuerdo
con cada touna
las reas que se preguntaba, esto refleja que
hay una consideracin muy alta de la manera en que TI contribuye a cunplir los
Figure 4Perceptions
Businesscon
and la
IT Stakeholders
on the
Contribution
IT to the Business
objetivos en las organizaciones
en of
relacin
inversin que
genera
valor,of reune
Percent
las necesidades del negocio con niveles de servicio de TI, soporte a la estrategiaof de
Business
Percent of
Negocio, facilita los cambios Contribution
y soportaofelITcumplimiento
y regulaciones del negocio.
to the Business
Respondents
IT Respondents
IT investments create value for the business.
87.8
Dentro ITdel
estudio del ITGI, se pregunto tambin por la madurez 70.0
de las
service levels meet the business needs.
organizaciones
en
cuanto
a
TI;
las
Figuras
3
y
4
muestran
parte
de
las
razones
IT supports the business strategy.
71.7 que
indican la ITmadurez
de
una
organizacin
para
la
implementacin
de
un
modelo
enables rapid business change.
80.8 de
Gobernanza.
IT supports business regulation and compliance.
77.1
92.4
83.5
89.5
77.1
82.4
In most
dimensions,
respondents
are generally
more positive thande
their
business counterparts.
The most
La Figura
3 deja
ver quethelaITrazn
principal
es la implementacin
frameworks
o
striking difference can be observed for IT supports the business strategy, where almost 90 percent of IT
estndaresrespondents
para el manejo
de las buenas prcticas. Asi se ve una aproximacin a tener
agree or strongly agree with the statement whereas considerably fewer (72 percent) of the business
madurez para
los modelos
de gobernanza.
respondents
hold a similar
view.
It is also interesting to note (not reflected in figure 4) that when it comes to IT service levels meeting business
needs, a more positive view is reflected amongst those enterprises that outsource some IT services as opposed
to those that do no outsourcing.
14
L O B A L
T A T U S
E P O R T
O N
T H E
O V E R N A N C E
O F
EN
T E R P R I S E
IT (GEIT)2011
4. The
GEIT
4. TheMaturity
Maturityand
and State
State ofofGEIT
Figure
16GEIT
Figure
16GEITEnablers
Enablers
Framework/standards related to governance of IT
284
295
284
295
193
193
147
Benchmarking capabilities
147
41
41
55
55
Face-to-face networking
Face-to-face networking
102
61
Electronic networking
Electronic networking0
40
102
61
80
120
80
120
40
160
200
160
200
Sum of scores
240
280
240
280
320
320
Fig. 3.Base:
Madurez
deof gobernanza
Empresarial.
450 (IT only)para la implementacin de Modelos
Sum
scores
FuenteFigure
http://www.Itgi.org
17Capability of Organisations That Provide or Implement GEIT Guidance or Solutions
ITGI
Market analysts
Figure 17Capability
of-2.4
Organisations That Provide or40.2
Implement GEIT Guidance or Solutions13.1
-0.7
-1.8
ITGI
Market analysts
ISACA
-2.4
-1.8
-0.7
Big 4 firms
Software vendors
24.4
-0.2 -1.6
-1.6
Software vendors
-4.9
39.6
-3.6
-18%
11.1
16.0
45.3
6.0
-7.3
39.6
-5.8
11.1
28.4
-12.2
-2.4
-18%
Local professional or
governmental organisations
16.0
9.3
24.9
-11.1
Strategy consultancies
8.2
-6.2
-1.8
-3.6
6.2
40.9
-12.2
-2.4
12.9
45.3
-1.6
12.9
9.3
24.4
-7.3
-1.8
Strategy consultancies
8.2
29.8
-8.0
40.4
-6.2
-3.8
13.1
6.2
40.9
-0.7 -2.7
-2.4
-2.7
ISACA
40.2
29.8
-8.0
-3.8
Universities
40.4
-2.4
-0.7
-0.2 -1.6
Big 4 firms
24.9
21.6
-5.8
28.4
0% 2%
-11.1
7.1
5.3
Very poor
capability
0% 2%
Poor
capability
Poor
Very poor
4.3 Level of GEIT Measures
in Place
capability
capability
7.1
22%
21.6
6.0
42%
62%
5.3
Good
capability
22%
Good
capability
Very good
capability
42%
62%
Very good
capability
of respondents
enterprises have some
degree
of GEIT
in place modelos
(figure 18).de
Only a very
Fig. 4.Two-thirds
Capacidad
de las Organizaciones
para
proveer
o measures
implementar
small number
(five percent)
consider
GEIT unimportant.
Gobernanza
Empresarial.
Fuente:
http://www.Itgi.org
4.3
Level
of GEIT
Measures
in Place
Cross-analysis
Two-thirds of respondents enterprises have some degree of GEIT measures in place (figure 18). Only a very
24
from businessque
and IT
are very
similar,
as noted
figure 18.
La Responses
figura 4 representa
tanrespondents
preparadas
pueden
estar
las in
organizaciones
para la
small number (five percent) consider GEIT unimportant.
implementacin
modelos de Gobernanza empresarial, por supuesto los resultados
G L O B A L S T A T de
U S R E P O R T O N T H E G O V E R N A N C E O F E N T E R P R I S E I T ( G E I T ) 2 0 1 1
del estudio Cross-analysis
reflejan la realidad de los diferentes tipos de organizaciones y quienes
manifiestan Responses
tener mejor
capacidad
son las dearereas
directamente
relacionadas
con TI ,
from business
and IT respondents
very similar,
as noted in figure
18.
24
ON
THE
GOVERNANCE
OF
ENTERPRISE IT (GEIT)2011
resulta interesante ver all a las Universidades que presentan un poco mas del 30%
con capacidad para la implementacin de modelos de gobernanza.
De acuerdo con los conceptos presentados con anterioridad, y la importancia de
alinear TI con el negocio y evidenciar la manera en que se considera que TI
contribuye al negocio, es muy recomendable contar con marcos de referencia para
garantizar la Gobernanza de TI, es as como ahora podemos observar en la Figura 5,
una propuesta del modelo de Gobernanza Empresarial de TI, que toma como
referencia COBIT y muestra otros marcos o estndares para completarla.
Marcos de Referencia
Estndares y
Metodologas
Regulaciones
SOX - BASILEA
COSO
COBIT
ISO
38500
Recuperacin en Desastres
ISO 9000
SIX SIGMA
Medio ambiente
BSC
Gobierno de TI
ROI
VPN
Sistema de Calidad
Gestin de Indicadores
PMI
PRINCE 2
Administracin Financiera
ISO
27000
Adm. de Proyectos
Seguridad de TI
CMMI
IT MARK
Desarrollo de Software
Gestin de Servicios
I
T
I
L
ISO
24700
Green IT
ISO 14000
Tacuar 163 2 B (C1071AAC) - C.A.B.A. / Argentina. Tel: (+54-11) 4331-6454 / 4334-6165 www.it-quality.com.ar
Fig. 5. Modelo
de Gobernabilidad. Fuente: Juan Guillermo Leruga CEO Grupo
TekNe Argentina.
33.7
57.0
24.2
20%
40%
28.9%
37.8%
58.9%
55.3%
26.8%
22.0%
60%
En medio
la GEIT
normaApproach
ISO 14000 certifica a las organizaciones en el
4.6 Basis
for an ambiente
Enterprises
cumplimiento del manejo y buen uso de los recursos ambientales y la preparacin
ISOpara
20000preservarlos.
is the external framework most frequently mentioned as a basis for an enterprises GEIT approach.
The second
commonly
citedson
external
or standard on which
an enterprise
bases itsde
GEIT
Paramost
conocer
cuales
los framework
marcos usualmente
utilizados
se conoce
acuerdo al
approach
is ISO
17799/ISO por
27000,eltheInstitute
InformationGovernance
Security Framework
security standards
estudio
realizado
IT, or
seother
pregunt
tambien por cual
5
(figure
26). It is alsolos
interesting
to note de
thatTI,
ISACAs
Risk IT framework,
released in 2009,
alreadylabeing
consideraban
ejecutivos
se lograba
una aproximacin
para islograr
base de
used
12 percent
of the respondent
unbyGEIT
empresarial,
y el enterprises.
resultado se observa en la Figura 6.
Figure 26External Frameworks and Standards Used as Basis for GEIT Approach
ITIL or ISO 20000
ISO 17799, ISO 27000, Information Security Framework
or other security standards
Six Sigma
28
21.1
15.1
COBIT (ISACA)
12.9
PMI/PMBOK
12.7
Risk IT (ISACA)
12
9.8
CMM or CMMI
9.3
ISO 38500
8.2
7.8
PRINCE2
6.4
Val IT (ISACA)
4.9
TOGAF
2.9
COSO ERM
Base: 450 (IT only)
5
1.6
0%
5%
10%
15%
20%
25%
30%
ON THE
GOVERNANCE
OF
ENTERPRISE IT (GEIT)2011
En esta Figura, se evidencia que ISO 20000 es el marco externo mas frecuentemente
mencionado, el segundo es ISO 27001 y los otros van disminuyendo como se
observan en la figura 6.
Hasta aqu se puede evidenciar que los estandar que ha estado trabajando la UPTC
relacionados con ISO 20000 e ISO 27001 son considerados por las personas del rea
de TI como los mas comunes para dar inicio al camino de Gobernanza empresarial de
TI, de tal forma que vale la pena conocer como es el avance en el modelo de
implementacin propuesto para identificar al final que haria falta para llegar al
modelo de Gobernanza. Adems que el trabajo adelantando dentro del Sistema
Integrado de Gestin SIG como ISO 9001, ISO 14000 ayudara en el camino a
29
Fase 1.
Verificar procesos comunes exigidos por las normas, Control de Documentos, Control
de Registros, Auditorias Internas, revisin por la Direccin
Fig. 8. Fases para la implementacin de servicios con las normas ISO 2000 e ISO
27000, luego del Anlisis GAP. Fuente Autor.
Luego de contar con el apoyo de la alta direccin la Siguiente estrategia es definir el
alcance de las normas, es decir a que servicios o procesos se va a dar cobertura con la
aplicacin de las normas.
En la Universidad se eligi El proceso Gestin de Recursos Informticos para el
alcance de las normas que hace parte de los procesos administrativos dentro del
Sistema de calidad. Este proceso es el que contempla las actividades realizadas
actualmente en el Grupo Organizacin y Sistemas que tiene definidas 4 reas de
trabajo:
1. Desarrollo y administracin de los sistemas de Informacin,
2. Redes y Telecomunicaciones
3. Soporte a Usuarios en Hardware y Software.
4. Administracin de aulas de Informtica para prstamo a Docentes y
estudiantes.
El objetivo del proceso es: Gestionar La Infraestructura Informtica Y De
Telecomunicaciones, Que Permita La Prestacin De Servicios cumpliendo con las polticas de
Seguridad de la Informacin Para La Satisfaccin De Necesidades De Los Clientes [3] y en
El proceso contaba inicialmente con cuatro (4) procedimientos y han pasado a ser
ahora diecisiete (17) procedimientos como se observa en la figura 9.
Direccionamien
to
SIG
Evaluacin
Independiente
Auditora
Interna
Acciones
CorrecAvas
y
PrevenAvas
Planeacin
InsAtucional
PROCESOS
ADMINISTRATIVOS
Plan
de
Desarrollo
Plan
de
Accin
PROCESO
GESTION
DE
RECURSOS
INFORMATICOS
Revisin
por
la
Direccin
Elaboracin
y
Control
de
Documentos
descripcin
PROCESOS DE APOYO
Mejora Continua.
Capacidad
Configuracin
Disponibilidad
Continuidad
Entrega
Ley de Proteccin de Datos Personales
Terceros
Propiedad de la Informacin
Clasificacin de activos de Informacin
Uso de Recursos informticos
Relacionadas con el personal: Ingreso, confidencialidad, aceptacin,
desvinculacin.
Relacionadas con la seguridad Fisica: Condiciones elctricas y ambientales,
control de acceso a reas de TI, control de acceso a instalaciones de la
Universidad.
Asignacin de responsabilidades operativas.
Control de cambios
Proteccin software malicioso
Almacenamiento y respaldo
Uso de comunicaciones
Acceso a Internet
Uso de perifricos
Auditoras a la plataforma tecnolgica
Cuentas de usuario
Contraseas.
Acceso a sistemas operativos
Redes de datos y sistemas de informacin.
Cifrado de informacin.
Desarrollo y soporte
Administracin de vulnerabilidades
Contingencia
Propiedad intelectual
Privacidad de la Informacin
Pirateria.
CONCLUSION.
An es prematuro concluir todo el impacto del sistema, sin embargo para responder a
la pregunta de si se logra evolucionar a un modelo de gobernanza, partir del trabajo
realizado y teniendo en cuenta la tendencia hacia las reas de TI, se presentan algunas
reflexiones, para lograrlo y algunas ideas de Leruga3:
Cuente con el apoyo de la Alta Direccin.
Sin duda el avance hasta el momento, permite pensar en que se puede llegar a un
modelo de gobernanza, y para ello se debera realizar una evaluacin de madurez
cuyo resultado nos brinde el GAP entre lo deseado y el estado actual
Elaborar un proyecto de mejora en base a los objetivos organizacionales
Definicin de etapas y entregables por periodos
Referencias
1.