Antología DN-0472 Gerencia Base de Datos 2016

8/18/2019 Antología DN-0472 Gerencia Base de Datos 2016

1/34

Escuela de Administración de Negocios Asumiendo el reto para la excelencia profesional: Acreditación

CARRERA DE DIRECCION DE EMPRESASAntología CURSO DN-0472 - GERENCIA DE BASES DE DATOS

I CICLO, 2016

L AS TECNOLOGÍAS DE INFORMACIÓN ENLA GESTIÓN DE NEGOCIOS AntecedentesEl aumento de la dependencia tecnológica que caracteriza el desarrollo de las actividadesfinancieras, la escala y los costos de las inversiones actuales y futuras en sistemas deinformación, la proliferación de amenazas y eventos no deseados; y el potencial que poseen las

tecnologías para cambiar drásticamente los procesos de negocio de las organizaciones, hacennecesario que la gestión del riesgo tecnológico se realice de acuerdo con las mejores prácticasen la materia.

Las organizaciones gastan demasiado dinero en tecnología y no logran obtener el verdaderovalor de las inversiones relacionadas con el cumplimiento de normas.

También desperdician considerables recursos al duplicar esfuerzos de capacitación,documentación, aplicación de políticas, administración y auditoría.

Básicamente, un método reactivo no permite crear un programa integral y sostenible paracumplir los requerimientos de cumplimiento de normas y los requerimientos más amplios de

administración de riesgos de información y seguridad.Las organizaciones deben enfrentar una gran gama de requerimientos al nivel de cumplimientonormativo.

El entorno regulatorio, las tendencias y las políticas internas, dificultan a las funciones decumplimiento y seguridad de TI superar la curva. Se obliga a las organizaciones a actuar demanera reactiva y administrar el cumplimiento de normas como proyecto a medida que surgennuevos requerimientos.

¿El resultado? Por lo general, esta respuesta reactiva, genera una enorme cantidad decontroles, políticas y procedimientos tecnológicos redundantes que se superponen.

La informaciónCada vez más, la alta dirección se está dando cuenta del impacto significativo que lainformación puede tener en el éxito de una empresa.

De esta forma, se identifica la necesidad de contar con un ambiente que asegure la adecuadaadministración de la información y los recursos que permiten su acceso y salvaguarda.

En particular, la alta dirección necesita saber si con la información administrada en laentidad, es posible que:


2/34



I CICLO, 2016

• Se garantice el logro de sus objetivos

• Tenga suficiente flexibilidad para aprender y adaptarse

• Cuente con un manejo juicioso de los riesgos que enfrenta

• Garantizar la seguridad de la información de negocio y la continuidad del mismo.

• Proteger la información para cumplir con las regulaciones.

• Evitar que se comentan acciones ilícitas o delictivas haciendo uso de la infraestructura de

la organización:

! Interna: empleados o colaboradores de la organización

! Externa: Intrusos en nuestros sistemas

• Control interno para evitar manipulaciones en los datos

• Códigos de Buen Gobierno

• Responsabilidad Social Corporativa

• Delimitar responsabilidades personales

La información y la tecnología relacionada con ella son tan importantes para el negocio que nose deben dejar sólo en manos de los técnicos informáticos.

La alta dirección es, pues, responsable de entender la función de las tecnologías deinformación, de saber cómo puede esta función apoyar sus objetivos de negocio y de cómopueden incluso plantear nuevos objetivos y servicios gracias a las tecnologías de información.

Criterios de InformaciónPara satisfacer los objetivos del negocio, la información necesita adaptarse a ciertos criterios decontrol, identificados como requerimientos de información del negocio.

• La efectividad – información relevante y pertinente a los procesos del negocio, y se

proporcione de una manera oportuna, correcta, consistente y utilizable.

• La eficiencia - la información se genere con el óptimo (más productivo y económico) uso de

los recursos.

• La confidencialidad - la protección de información sensitiva contra revelación no autorizada.

• La integridad - la precisión y completitud de la información, así como con su validez de

acuerdo con los valores y expectativas del negocio.

• La disponibilidad - la información debe estar disponible cuando sea requerida por losprocesos del negocio en cualquier momento. También concierne a la protección de losrecursos y las capacidades necesarias asociadas.

• El cumplimiento - acatar las regulaciones y acuerdos contractuales a los cuales está sujetoel proceso de negocio, es decir, criterios de negocios impuestos externamente, así comopolíticas internas.

• La confiabilidad - proporcionar la información apropiada para que la gerencia administre la

entidad y ejerza sus responsabilidades fiduciarias y de gobierno.


3/34



I CICLO, 2016

Gobernabilidad

El concepto de Gobierno corporativo, es el conjunto de principios que norman el diseño,integración y funcionamiento de los órganos de gobierno de la empresa, como son el Consejode Administración y sus Comités de apoyo. Apareció hace algunas décadas en los países másdesarrollados del oeste de Europa, en Canadá, los Estados Unidos y Australia, comoconsecuencia de la necesidad que tenían los accionistas minoritarios de una empresa de conocerel estado que guardaba su inversión; esto es, querían saber qué se estaba haciendo con su dineroy cuáles eran las expectativas futuras. Esto hizo que los accionistas mayoritarios de un negocioy sus administradores, iniciaran un proceso de apertura de la información, al mismo tiempo deprofesionalización y transparencia en el manejo del mismo.

En el mundo, el mercado de valores, los fondos de pensiones, sociedades mutualistas, compañíasde seguros, sociedades de capital de riesgo y otros similares, forman parte importante delsistema financiero y las necesidades de información sobre su inversión han sido definitivas en laincorporación a las empresas de las llamada mejores prácticas corporativas.La Organización para la Cooperación y el Desarrollo Económicos (OECD), emitió en mayo de 1999sus “Principios de Gobierno Corporativo” en los que se encuentran las ideas básicas que danforma al concepto que es utilizado por los países miembros y algunos otros en proceso de serlo.

Los principios de la OECD contemplan que el marco de GC debe:

• Proteger los derechos de accionistas.

• Asegurar el tratamiento equitativo para todos los accionistas, incluyendo a los minoritarios

y a los extranjeros.

• Todos los accionistas deben tener la oportunidad de obtener una efectiva reparación de los

daños por la violación de sus derechos.

• Reconocer los derechos de terceras partes interesadas y promover una cooperación activa

entre ellas y las sociedades en la creación de riqueza, generación de empleos y logro deempresas financieras sustentables.

• Asegurar que haya una revelación adecuada y a tiempo de todos los asuntos relevantes de

la empresa, incluyendo la situación financiera, su desempeño, la tenencia accionaria y suadministración.

• Asegurar la guía estratégica de la compañía, el monitoreo efectivo del equipo de dirección

por el consejo de administración y las responsabilidades del Consejo de Administración consus accionistas.

La OECD y el Banco Mundial, a través de la Corporación Financiera Internacional, tienenestablecido un amplio programa de difusión del concepto de Gobierno Corporativo en el mundo.

Este programa incluye la celebración de mesas redondas por regiones geográficas, así, enAmérica Latina se han llevado a cabo cuatro mesas redondas Latinoamericanas de GC. Laprimera se celebró en el año 2000 en Sao Paulo, Brasil; la segunda en 2001 en Buenos Aires,Argentina; la tercera en 2002 en la Ciudad de México y la cuarta en 2003 en Santiago de Chile,Chile.

Hoy en día es tan importante el Gobierno Corporativo como un desempeño financiero eficiente.Se dice que alrededor del 80% de los inversionistas pagarían más por una compañía con un buenGC; y como no, si este elemento le brinda una mayor seguridad a su inversión ya que asegurasanas prácticas corporativas. Entre mayor transparencia e información exista, mayor es la


4/34



I CICLO, 2016

confianza de los inversionistas en el mercado. Por lo anterior el GC lejos de ser una moda, seconsidera un concepto necesario para la sostenibilidad y crecimiento de las empresas.

Gobierno Corporativo – Prioridades 2015 de las juntas directivas – por Ray Wang1

Las juntas directivas de los líderes del mercado y organizaciones seguidoras rápidas adoptanmedidas para combatir el abismo digital al que se enfrentan.

Constellation Research encuestó a más de 200 CXO y ha identificado 10 prioridades de las juntasdirectivas para 2015. Como se preveía, la transformación digital se ha convertido en un temaimportante y los líderes en el mercado y los seguidores rápidos, buscan orientación sobre quéelementos son necesarios en el diseño para apoyar negocio digital.

La transformación digital se define como la metodología en la que las organizaciones setransforman y crean nuevos modelos de negocio y cultura con las tecnologías digitales. Elconductor de la transformación digital se deriva del hecho de que desde el año 2000, el 52 porciento de las empresas del Fortune 500 han quebrado, se han comprado o ha dejado de existir.

De estos líderes del mercado y los seguidores rápidos surgieron diez prioridades fuertementesesgadas hacia el extremo superior de la “Jerarquía de necesidades corporativas” deConstellation.

Las prioridades de las juntas directivas reflejan la urgencia del cambio a velocidad digital.

Después de la categorización de las prioridades de las juntas de acuerdo con la Jerarquía de

necesidades corporativas” de Constellation, surgieron 10 tendencias en las cinco categorías. Esde destacar que un mayor número de prioridades para 2015 surgió en el mayor nivel denecesidades. Este cambio con las encuestas anteriores indica un deseo de cambiar de estrategiao embarcarse en la transformación del negocio.

Prioridades de marca apoyan la entrega de autenticidad en ambos mundos analógico y digital

1. Inversión en presencia digital. Las personajes digitales no sólo deben reflejar la marca,sino también ampliar la experiencia analógica. Las marcas líderes son conscientes de invertir

1 Research Report: Inside The 2015 Boardroom Priorities (Parts 1 & 2), Published on December 16, 2014 by R “Ray”

Wang @rwang0

Marca

DiferenciaciónEstratégica

Ingresos yCrecimiento

Costo y EficienciaOperativa

Cumplimiento Regulatorio


5/34



I CICLO, 2016

en la experiencia digital con un ojo hacia la personalización en masa y a escala. Mientrasque la publicidad juega un papel clave en la realización del mensaje, la inversión en el

diseño de experiencias digitales emerge como el área caliente de la inversión.2. Entrega consistente de la experiencia del cliente (CX). Miembros de la Junta en mercados

altamente competitivos hacen hincapié en la necesidad de mejorar y ampliar la experienciadel cliente con el fin de aumentar el valor vitalicio del cliente. Se dan cuenta que estasiniciativas requieren tanto un modelo de compromiso sostenible a través de las comunidadesy una dimensión de lealtad a través de “gamification” y el intercambio de valor. La zonamás caliente del crecimiento es la experiencia post-venta que incluye la instalación,garantía, servicio, capacitación, migración y actualización.

La diferenciación estratégica se centra en técnicas de transformación digital proactiva yreactiva

3. La transformación digital de los negocios. Los líderes están luchando para crear nuevos

modelos de negocio a través de las tecnologías de punta. Una tendencia incluye laintroducción de nuevas unidades – los modelos de negocio de costos. Estos modelos denegocios tratan de ofrecer la menor unidad de producto o servicio a un cliente y luego buscarmodelos de suscripción para la previsibilidad a largo plazo. Además, los líderes estánesperanzados de aprovechar la escala de la tecnología digital para cumplir con la meta alargo plazo, que son segmentos de clientes de uno.

4. Respuesta rápida a los competidores no tradicionales. Con el surgimiento de competidoresno tradicionales para casi todos los segmentos de mercado, las juntas están pidiendo a susequipos de gestión para crear equipos SWAT para identificar proactivamente potencialescompetidores en el mercado. El objetivo – crear posibles respuestas a los escenarios delmercado basado en los nuevos modelos de negocios y las tecnologías de punta.

5.

Creación modelos de negocio impulsado por información interna. Se espera que lasorganizaciones entreguen el 20% de su crecimiento en los ingresos de los modelos de negociode grandes datos para 2020. La intermediación de conocimientos como un distribuidor deproveedores de contenidos, la red o proveedor de brazos surge como nueva fuente dediferenciación competitiva y también una fuente de ingresos. Las organizaciones debencrear la capacidad de ofrecer conocimiento propio y alimentar a agentes de informacióncomo Thomson Reuters y Bloomberg.

Estrategias de crecimiento e ingresos se preparan para estrategias altamente especializadase inorgánicas

6. Priorizar el desarrollo de una cultura de alto rendimiento. La guerra por el talentocontinúa en el extremo superior del espectro de contratación. De hecho, el mercado esaltamente competitivo para el 10% de la fuerza laboral. ¿Por qué? A pesar de la contratación

de un menor número de trabajadores, la mayoría de las organizaciones prioriza la calidadsobre la cantidad. Además, la jubilación esperada de una generación altamente cualificaday experimentada crea un vacío de trabajadores cualificados no sólo en los primeros lugares,sino también en el medio de la base de empleados.

7. Preparación para el crecimiento inorgánico. Capital barato, las ambiciones deacumulación de la cartera de patentes de crecimiento global, guerra por el talento, y ladisminución de los márgenes impulsa las fusiones, adquisiciones y joint ventures. Por otraparte, el carácter esquivo de crecimiento orgánico reta a las juntas a considerar fusiones yadquisiciones como un acelerador de la propiedad intelectual, el talento, la base de clientes


6/34



I CICLO, 2016

y redes asociadas. El objetivo es crear ecosistemas de plataforma y atraer socios para co-crear y co-innovar.

El costo y la eficiencia operativa siguen siendo un pilar importante mediante laautomatización e integración luego de la fusión

8. Automatización masiva de mano de obra y el pensamiento. La automatización se expandetanto en la gama baja como en la gama alta del mercado. Los líderes invierten en robótica,Internet de los objetos, y la realidad aumentada. La santificación de puestos de trabajo enel medio se expandirá ya que las máquinas se vuelven más inteligentes y se incrementan loscostos reglamentarios de la asistencia sanitaria para aumentar la seguridad. Los sistemas degestión de la Decisión aprenderán a hacer recomendaciones más coherentes e inteligentesbasados en aprendizaje automático y algoritmos. De las cadenas de suministro a laexperiencia del cliente, la automatización avanza a un ritmo rápido de cambio.

9. La eficiencia en la integración tras la fusión. Con el crecimiento inorgánico como una

prioridad para 2015, las juntas medirán a los equipos de gestión por su habilidad paracompletar no sólo una fusión y adquisición, sino también expulsar costos, fusionar las líneasde productos, mejorar las ventas nuevas y otros productos a los clientes actuales, aumentarla cuota de mercado, y mejorar rentabilidad. Los líderes experimentados preparan para laescala mediante la construcción de capacidades directas y Plataforma para el núcleo y elaprovechamiento de los proveedores de servicios tercerizados para necesidades no básicas.

Cumplimiento Normativo

10. Reducción del costo de cumplimiento normativo y seguridad. Como prolifera elcumplimiento normativo y las amenazas a la seguridad, las organizaciones buscancapacidades para reducir el costo. Las soluciones incluyen la creación de servicioscompartidos entre los competidores para hacer frente a los requisitos reglamentarios y

procesos básicos comunes.La línea base: el darwinismo digital es cruel para los que esperan

Lamentablemente, en casi todos los segmentos, los tres principales competidores controlan el43 a 71 por ciento de la cuota de mercado y del 53 a 77 por ciento de las ganancias. En elespacio de la tecnología sólo 80 empresas desde 2000 han hecho que el club del multimillonario.Mientras tanto, la intensa competencia, el pensamiento a corto plazo de los accionistas a cortoplazo, y la inversión mínima entorpecen el ritmo de inversión e innovación requerida por loslíderes de negocio para sobrevivir el panorama competitivo de hoy.

Mientras que las juntas no han sido complacientes con el tratamiento del cambio, los últimoscinco años han demostrado la diferencia entre los que invirtieron en la transformación digital ylos que no lo han hecho. El abismo corporativo digital es enorme entre los líderes del mercado,

seguidores rápidos, y todos los demás. Los miembros de la junta astutos se dan cuenta quedeben invertir en el cambio transformacional para enfrentar un darwinismo digital vicioso.

¿Qué es el gobierno de TI?

El gobierno de TI es parte integral del gobierno corporativo y consiste en el liderazgo, losprocesos y las estructuras que aseguran que las tecnologías de la organización apoyen losobjetivos y estrategias de la empresa. Su objetivo es asegurar que las tecnologías aportan valora la empresa y que el riesgo asociado a ellas está bajo control. Para extraer valor de latecnología, es necesario alinear las TI con la estrategia de negocio. Por su parte, la gestión del


7/34



I CICLO, 2016

riesgo tiene múltiples dimensiones que incluyen aspectos como la seguridad, la recuperación dedesastres o la privacidad.

¿Qué aspectos debe considerar un buen gobierno de TI?

Un gobierno de TI debe centrarse en cuatro aspectos: la obtención de valor de las TI; la gestióndel riesgo; la asignación de responsables; y la medición de resultados. Para cumplir con ellos,las empresas establecen diferentes mecanismos, como designar un comité formado por la altadirección, hacer el seguimiento de los proyectos de TI y los recursos consumidos, o estableceracuerdos de nivel de servicio. Muchas veces, estos mecanismos se han ido creando de formaaislada, a medida que la empresa topaba con dificultades. Por ello, es necesario revisar cadauno de estos mecanismos de forma regular y determinar su efectividad.

Peter Weill y Joanne Ross, profesores del MIT y autores de “IT Governance: How Top PerformersManage It Decision Rights for Superior Results”, recomiendan definir entre seis y diez

mecanismos en torno a tres aspectos: la estructura de toma de decisiones (de modo que quedeclaro quien decide y es responsable de tales decisiones), los procesos de alineación (un gobiernoefectivo actúa más que decide) y las comunicaciones formales (explicar el porqué de lasdecisiones contribuye a que toda la empresa las entienda y apoye).

¿Existe alguna metodología estándar para dirigir las TI?

Hay muchos tipos de mecanismos y técnicas de gobierno de TI. Aunque diversas asociacioneshan desarrollado metodologías para ayudar a las empresas a gestionar sus sistemas deinformación, los expertos remarcan que no existe el marco ideal, sino que son complementariosentre ellos. Por ello, la mayoría de empresas están desarrollando sus propios modelos degobierno de las TI, tomando prestado lo que más les interesa de cada metodología oficial. Uno

de los marcos que está ganando popularidad en la comunidad mundial de TI es la ‘ITInfrastructure Library’ (ITIL), inicialmente desarrollada en el Reino Unido por la Oficina deComercio del Gobierno (OGC). En cierto modo, ITIL explica cómo acometer las medidas de ungobierno de TI, mientras que la metodología Control de Objetivos para la información yTecnologías Relacionadas (COBIT) se centra en qué medidas adoptar. Desarrollada por laAsociación de Auditoría y Control de los Sistemas de la Información (ISACA), COBIT es fuerte encontrol y medición. Por último, la Organización Internacional para la Estandarización (ISO) hadesarrollado la ISO 17799, bajo el nombre de “Tecnologías de la Información. Código deprácticas de la gestión de la seguridad de la información”, muy enfocado a la seguridad. En elmercado existen diversas soluciones, de fabricantes como i2 Technologies, IBM o Microsoft, queimplementan las mejoras prácticas de alguna de estas metodologías para ayudar a las empresas

a desarrollar sus gobiernos de TI.¿Cuáles son los principales retos y dificultades de un gobierno de TI?

En primer lugar, la falta de conocimiento sobre qué implica este tipo de mecanismos. Tambiénfalta concienciación sobre la necesidad de contar con ellos: un estudio de Manager Objectsseñala que el 41 por ciento de los directores de TI no planean adoptar principios de gobierno deTI. El mismo estudio destaca que, de los 179 directores de TI británicos encuestados, más deuna tercera parte citan la falta de tiempo y dinero como las principales razones para no medirel rendimiento de sus sistemas. Además, los expertos señalan la dificultad de identificar las


8/34



I CICLO, 2016

medidas clave para calcular el rendimiento de las TI. Por último, implantar un gobierno de TIsignifica no sólo adoptar las herramientas correctas, sino que obliga a las empresas a adaptar y

repensar todos sus procesos.¿Gobierno de TI o Gestión de TI? La opinión de Mark Toomey

Se está construyendo un debate acerca de la distinción entre “Gobierno de TI” y “Gestión deTI”. Por muchos años, hemos visto como la industria de TI utiliza estas palabras en formaintercambiable o, tratando de distinguir entre los niveles de gestión altos y bajos, refiriéndosea los niveles más altos como “Gobierno”. Hemos visto como el término “Gobierno” se junta condatos, XML, computación verde, computación en la nube, tercerización, procesos, yprobablemente al fregadero de la cocina.

Llamar a algo gobierno sin ninguna otra explicación, no conduce a nada excepto a la confusión.Y no solo confunde a las personas de TI – confunde a los gerentes, ejecutivos y directores de lasempresas – porque para cada una de esas comunidades, la palabra tiene sutiles diferencias designificado.

El problema de distinguir entre Gobierno y Gestión, va más allá de simplemente definir lostérminos. Requiere que construyamos un entendimiento de cómo el Gobierno y la Gestión semezclan entre sí, para proveer un completo control efectivo y supervisión de una organización,con respecto a cómo esta organización utiliza TI.

Un Marco para el Gobierno y la Gestión de TI

ISO/IEC 38500 es frecuentemente citado como uno de los marcos de trabajo disponibles para elgobierno de TI – junto a CobiT, ITIL, ISO 20000 e ISO 27000. Mientras que es bueno ver que el

estándar es reconocido como una herramienta relevante, es incorrecto clasificarlo de esamanera. ¿Por qué? Básicamente, ISO/IEC 38500 es puramente acerca de gobierno de TI – todo elresto está enfocado en las disciplinas de gestión que deben funcionar bien para que TI puedaser eficiente, efectiva y aceptada.

La mayor razón por la que vemos que ISO/IEC 38500 está siendo comparada con los marcos detrabajo y estándares, es que continúa existiendo un considerable bache de entendimientocomún acerca de la diferencia, y relacionamiento, entre gobierno y gestión.

Es remarcable que esta discusión aparece como única en la arena de TI. No vemos en la mayoríade la literatura de “Gobierno de Recursos Humanos”, “Gobierno de Finanzas”, “Gobierno deActivos”, “Gobierno de Riesgos”. ¿Por qué? Estas viejas y bien establecidas disciplinas tienen

integración entre los sistemas de gestión y los acuerdos de gobierno global. En estas disciplinas,existen prácticas bien establecidas a través de las cuales, las intenciones de los cuerpos degobierno son comunicadas a la gestión, y a través de estas, la gestión provee la informaciónnecesaria al cuerpo de gobierno de manera tal que se pueden descargar las responsabilidades.Están bien comprendidos los actos de la gestión dentro de la autoridad delegada por el cuerpode gobierno, pero nadie insiste en que esa autoridad delegada significa que está haciendo“gobierno”. Al mismo tiempo, los gerentes tienen un claro entendimiento de sus sistemas degestión y, como sus actividades de nivel básico son agregadas para proveer información yevidencia para todos aquellos que son los responsables del desempeño de la organización. En


9/34



I CICLO, 2016

efecto, estos aspectos de gobierno corporativo pueden ser vistos como un sistema que supervisa,da dirección hacia y, monitorea el desempeño de la organización con respecto a esa clase

particular de activo o dominio de gobierno. El nivel exacto de profundidad en el cual latransición entre las tareas puras de gobierno y, las tareas puras de gestión son un poco variables,dependiendo de la naturaleza de la organización, pero en las organizaciones bien gestionadas,es muy claro donde están estas fronteras.

Así, este documento propone un marco inicial para entender los conceptos de, una distinciónentre las disciplinas de gobierno y gestión de TI, que es similar en naturaleza al gobierno ygestión de otros tipos de activos acerca de los cuáles, el cuerpo de gobierno de la organizaciónestará normalmente preocupado.

Gobierno Corporativo de TI es el sistema por el cual se dirige y supervisa el estado actual yfuturo del uso de TI (ISO/IEC 38500). El gobierno de TI trata principalmente con los planes para

utilizar TI (en ambos contextos; estratégico y operacional), las iniciativas que crean sus usosfuturos y, las actividades operacionales que constituyen su utilización actual.

El modelo de gobierno de TI presentado en ISO/IEC 38500 posiciona tres tareas claves degobierno – evaluar, dirigir, controlar, como la clave para dar dirección hacia y, controlar eldesempeñó de los roles de gestión en la conducción de la organización para la planificación,implementación y utilización operacional de TI.

Modelo de Gobierno IT ISO/IEC 38500

Puede ser rápidamente comprendido que el foco del gobierno de TI lleva directamente almodelo más básico de los negocios – Planear – Construir – Operar. Debe ser reconocido que,mientras este modelo es utilizado, a veces, por los especialistas de TI para explicar aspectosdel ciclo de TI, es también ampliamente comprendido por los líderes de negocio y los educadorescomo el ciclo básico de la gestión de negocios – y ese es el contexto en que se utiliza aquí.


10/34



I CICLO, 2016

ISO/IEC 38500 en el ciclo de gestión de negocios

La afirmación clave de este documento es que, el sistema para el gobierno de TI supervisa,controla y recibe información, desde un conjunto de sistemas de gestión interconectados yconfigurados de manera única para responder a las necesidades de la organización. El sistemade gestión implementa la autoridad delegada del cuerpo de gobierno a través de políticas biendiseñadas, procesos, asignación de roles y herramientas de soporte, que proveen un control

efectivo e integrado sobre la visibilidad y utilización de TI en la organización. En efecto, elsistema de gestión provee la “maquinaria de gobierno”, en que ellos son controlados por, y leda efecto a las políticas determinadas por el acuerdo de gobierno, y provee la visibilidadnecesaria para permitir al cuerpo de gobierno llevar a cabo sus obligaciones en la supervisióndel desempeño y conformidad respecto de la utilización por la organización de TI.

La definición precisa de los puntos de compromiso es un poco variable, dependiendo de lanaturaleza de la organización, pero en general, el propósito de estos puntos de compromiso sonpara la obtención de dirección desde el cuerpo de gobierno (tales como dirección completa dela empresa, comportamiento y política), la sumisión de temas para aprobación del cuerpo degobierno (o a todos aquellos que actúan en su nombre por la delegación de autoridad), y la

provisión de retroalimentación y evidencia al cuerpo de gobierno tal cual es requerido por lasreglas corporativas.

Para entender la naturaleza de un sistema comprehensivo de gobierno de TI, se requiere unprogresivo desmenuzamiento del sistema de gestión al cuál la ISO/IEC 38500 está vinculado.

• Desarrollo estratégico – para definir el destino del uso integral de TI con, y en el contexto

de la visión y estrategia del negocio. Muchas veces es beneficioso ver el desarrolloestratégico en dos niveles – establecer la visión a la que aspira la organización y, definircomo se logrará esa visión.


11/34



I CICLO, 2016

• Planificación – para priorizar y alocar los recursos para entregar y operar los sistemas del

negocio posibilitados por TI tal cual lo requiere la estrategia de la organización

• Implementación – despliegue y gestión de los recursos alocados para entregar el nuevo

sistema de negocio requerido por la estrategia de la organización

• Operación – conducción de las actividades de negocio posibilitadas por TI para realizar los

objetivos estratégicos y operacionales de la organización.

ISO/IEC 38500 Sistemas de Gestión Primarios

No es esencial que estos 4 sistemas de gestión primarios sean pensados como estando solamenteenfocados en TI. Es más, a medida que TI es generalizada a través de la mayoría de lasorganizaciones, es probable que tomando la perspectiva estrecha de solo TI, podría llevar a unamala gestión – porque TI es solamente un posibilitador de la foto mayor y nunca un fin, o unasolución en sí misma. Un acercamiento más efectivo es reconocer que TI está intrínseca en estossistemas de gestión y, en ese nivel, no tiene un foco independiente.

Para muchas organizaciones, la extensión, complejidad y el riesgo asociado con el uso de TIcomo un posibilitador de negocios, requiere que estos 4 sistemas de gestión primarios deban serdescompuestos en un conjunto de disciplinas principales. Mientras puede haber muchas manerasde descomponer el sistema de gestión en unidades más discretas, ha habido una buena partede coherencia en la identificación de los sistemas de gestión de nivel superior. John Thorp,autor de “The Information Paradox” provee un modelo adecuado que identifica 7 disciplinas:

1. Estrategia

2. Arquitectura Empresaria

3. Cartera

4.

Programa5. Proyecto

6. Activo

7. Operación

Además, podemos envolver efectivamente el modelo de Throp con la disciplina esencial de estosdías de Seguridad de la Información, la cual no está más confinada a las cuestiones de operación,pero que necesariamente debe ser considerada en todas las disciplinas del modelo Thorp.


12/34



I CICLO, 2016

El Modelo Thorp Extendido

Mientras el modelo de Thorp se construyó en el contexto de una mejor gestión del uso de TI enlas organizaciones, no está limitado por ninguna razón al contexto de TI, y es más no puede seraislado solo a TI. Hacer esto, podría resultar en negar la realidad que TI es un posibilitador delos sistemas del negocio, que también incluye personas, procesos y estructura, como definióHarold Leavitt en 1965.

El desafío significante en muchas organizaciones que buscan un gobierno de TI mejorado esorganizar estas disciplinas de manera tal que ellas participen adecuadamente en los 4 elementosclaves del sistema empresarial, en lugar de, tratar TI como un concepto independiente. En estecontexto, el papel de la arquitectura empresaria es relevante – como así también – desarrollaruna capacidad arquitectónica de la empresa deberá abordar el diseño de la organización total,y específicamente tratar con las 4 dimensiones claves del sistema empresarial.

En este punto, es apropiado notar que las disciplinas identificadas en el modelo extendido deThorp, todas han sido foco de desarrollo de marcos de trabajo y estándares. La existencia deestándares directamente relacionados que incluyen ITIL, ISO/IEC 20000, ISO/IEC 27000, TOGAF,Prince2, PMBOK y muchas más, nos da la pauta que las disciplinas identificadas en el modeloson adecuadas. También destaca lo inapropiado de la aseveración que surge muchas veces que,ninguno de estos estándares es una respuesta completa a las necesidades de las organizacionescon respecto al gobierno y gestión de IT. (Nota, CobiT también es un marco de trabajo relevanteen este contexto, y dado que su alcance es mayor y requiere un mayor conocimiento de CobiTpara identificar la manera en que valida las disciplinas identificadas en el modelo Thorp).

Con el modelo extendido de Thorp, si se requiere, es posible descomponer estas 8 disciplinasprimarias en prácticas claves. La identificación de las prácticas claves es una tarea querequerirá esfuerzo para descubrir modelos disponibles y juntarlos con las disciplinas,reconociendo también que podría haber prácticas claves adicionales que no están definidasdentro de los modelos de prácticas disponibles. Sin embargo, para el propósito de la ilustración,el estándar ISO/IEC 20000 define claramente las prácticas de gestión de Configuración y Gestiónde Incidentes.


13/34



I CICLO, 2016

En este estado, no es necesario que descompongamos el sistema de gestión. Mejor dicho,podemos esperar que las 8 disciplinas primarias identificadas acá, puedan ser descompuestas

de manera fiable y que, haya acuerdos listos en los modelos descompuestos. Lo que ahora esimportante, es comprender como las disciplinas y las prácticas claves dentro de ellas encajancon el sistema completo de gobierno de IT.

En realidad, el compromiso del cuerpo de gobierno con el sistema de gestión será un tema dedeterminación en una base de caso por caso para cada organización. Sin embargo, habrácaracterísticas comunes en la participación y, estas son apuntadas por ISO/IEC 38500. Deberíaser bastante claro que la participación del cuerpo de gobierno es por medio del establecimientode políticas de nivel superior incluyendo, las delegaciones de autoridad (muchas vecesdesarrolladas en conjunto con la gestión), la participación en el desarrollo de, y aprobación dela estrategia, aprobación de los gastos mayores, y el monitoreo de conformidad y desempeño

con respecto a las actividades de las inversión operacionales. Mientras que el cuerpo de gobiernopuede no comprometerse directamente con cada disciplina, y ciertamente no lo hará con lasprácticas claves, es con todo importante que el diseño del sistema provea un nivel deintegración que, asegure la transmisión adecuada de las políticas del cuerpo de gobierno y otrosrequerimientos a través del sistema, y también provea los niveles apropiados de visibilidad ytransparencia.

En organizaciones grandes y complejas, las autoridades y, mucho del detalle del sistema degobierno de IT, es probable que sean delegadas a los ejecutivos, gerentes medios y superiores.Esta delegación esta manifiesta en los diseños específicos de los sistemas de gestión.

Encuentro Gobierno – Gestión

Así, ahora podemos visualizar una versión evolucionada del modelo de ISO/IEC 38500 para elgobierno, donde los tres pasos principales en el ciclo de gestión son reemplazados por las 8disciplinas primarias claves, alineadas sobre los 4 primeros sistemas de gestión. En este camino,podemos ahora comenzar a desarrollar un mejor entendimiento de cómo se relacionan las tareasy roles de gobierno y gestión, y como son distintas e interdependientes.


14/34



I CICLO, 2016

Se puede decir razonablemente que, el sistema de gestión o las disciplinas dentro de ese sistematienen un punto, o puntos de encuentro con el sistema de gobierno. Estos puntos de encuentro

son:

• Preparación, adopción, comunicación y refuerzo de la política relevante para el sistema de

gestión.

• Delegación de autoridad y escalada a niveles superiores de autoridad cómo y cuándo es

requerido.

• Provisión de informes formales con respecto a la conformidad y desempeño, para cumplir

las necesidades de la supervisión eficiente y diligente por el cuerpo de gobierno y cualquiercuerpo intermedio que puede actuar por la delegación de autoridad.

El diseño detallado de estos puntos de encuentro son, de nuevo, una cuestión de diseño basado

en caso por caso por la organización, tomando en cuenta el diseño completo de sus sistema degobierno de IT y las autoridades delegadas que deben aplicarlo.

Estas ideas presentadas aquí son un principio, no un fin. Ellas serán un tema de debate,esperemos que en diversos foros, e involucrando personas desde todos los conocimientos,incluyendo líderes de corporaciones y gobierno, académicos y especialistas de IT.

Habrá trabajo específico desarrollado en el contexto de ISO, y es de esperar que surja un modelomás claro y trabajable en el futuro cercano, de manera que la industria completa de IT, y lasorganizaciones que dependen de ella, puedan por lo menos tener una conversación clara y sinconfusiones acerca de la gestión y el gobierno de IT.

Regulaciones (Nacionales e Internacionales), estándares ymejores prácticas asociadas (CobiT, ITIL, COSO, ISO)Costarricenses indefensos ante el delito informáticoPor Ana Madrigal© Informa-tico.com < http://www.informa-tico.com/php/expat.php?id=01-08-0502408&ed=61&fecha=01-08-05&foro=180>

La ingenuidad del costarricense, la poca información que maneja con relación al refinamientoy propagación de los delitos informáticos y la escasa legislación en torno al tema, colocan anuestros ciudadanos en inminente riesgo de convertirse en víctimas de las múltiplesmodalidades del crimen informático.

Ciertamente, el desarrollo tecnológico permitió la proliferación de las computadoraspersonales y la expansión del Internet, pero de la mano de estos avances llegó una amenazageneralizada de lo que se ha dado en llamar delincuencia informática, delitos de cuello blanco,ciberdelincuencia y hasta robo del Siglo XXI.

Según el español Miguel Davara, experto en el tema, el delito informático es la realización deuna acción con las mismas características de un delito, pero que se lleva a cabo utilizando unelemento informático y/o telemático, o vulnerando los derechos del titular de un elementoinformativo, ya sea hardware o software. Es decir, en muchos casos se trata de delitostradicionales llevados a cabo con las nuevas tecnologías.


15/34



I CICLO, 2016

Películas y una buena cantidad de informaciones que aparecen cadavez con más frecuencia en los medios de comunicación alertan sobre

las acciones de los llamados piratas informáticos, "hackers" y"crackers", quienes burlando sistemas de seguridad, logranintroducirse en los archivos de los bancos y hasta de los cuerpospoliciales y de seguridad nacional más famosos del mundo, entre ellosel FBI, la DEA y del mismísimo Pentágono; invaden la privacidad,roban o afectan valiosa información, cometen fraudes, manipulan losmercados financieros y utilizan la red para transmitir virus decomputadoras.

Costa Rica, por supuesto, no está exenta de este fenómeno y ante elnuevo panorama, el experto en Derecho Informático y profesor de laUniversidad de Costa Rica, Christian Hess, aseguró que el paísrequiere de una importante actualización legislativa en materia dedelincuencia informática. Los avances experimentados, no hanaprovechado las investigaciones y experiencia de otrosordenamientos que llevan la delantera en este terreno, indicó.

"El desarrollo positivo nacional en materia de cibercriminalidad es escaso y reciente, comoprobablemente sea la tónica en la mayoría de los países latinoamericanos y, en vez deestablecer regulaciones de carácter general, se ha optado por realizar enmiendas a leyesespeciales que, a la postre, han conducido a situaciones de notoria inconsistencia normativa",aseguró Hess.

Por su parte, la doctora Alejandra Castro, experta en Derecho Informático y directora de laMaestría en Propiedad Intelectual de la UNED, sostiene que uno de los aspectos más

preocupantes en torno al proceso de definición y tipificación de estos delitos fue la inexistenciade una política criminal y técnica.

"Yo me atrevo a asegurar esto porque estudié en su momento el proyecto de ley y dada laescasez de debate sobre las necesidades nacionales para la tipificación de los delitosinformáticos, su inclusión en Costa Rica fue el resultado de una moda, pues en los 90s seempezó a regular en Latinoamérica algo que para Europa o Japón ya era una realidad a finesde los 70. Esa aprobación apresurada y sin sistematización de las acciones delictivas endiversos cuerpos normativos en efecto respondió a una tendencia regional, pero al fin y alcabo necesaria".

Según ella, tampoco existió claridad, a nivel de gobierno, sobre cuáles delitos debían tipificarse

penalmente para encarar el fenómeno, ni sobre cuáles conflictos existían y necesitabansolución y por lo tanto los proyectos de ley se aprobaron, como consecuencia de la aprobaciónsucesiva de leyes similares en otros países, lo que llevó a Costa Rica a sumarse a esatendencia".

Por ejemplo, explicó, en relación con la protección a la intimidad, ahora se está hablando dela necesidad de interponer un recurso de habeas data, ante la Sala IV, que es el recursoprocesal por medio del cual se defiende la protección de los datos personales. Costa Rica notiene ese recurso y la Sala Constitucional ha venido solventando esa carencia a través de losrecursos de amparo y ha tutelado el derecho específico de la protección de la intimidad por

Aunque en los últimos añosha aumentado muchísimo eluso de tarjetas de crédito y

débito en Costa Rica, lalegislación no se adecúa aúna la nueva realidad. (j.a.)


16/34



I CICLO, 2016

medio de las herramientas y leyes que ya existían. Esto, de algún modo, dijo, resta seguridady claridad a los jueces pero el derecho a pesar de ello logra su tutela.

Lo cierto del caso es que el riesgo de que cualquier costarricense sea presa fácil de este tipode delincuencia va a ser cada vez mayor, en razón de que todos los días surgen métodos dedelinquir más refinados y tecnologías más sofisticadas para acceder a las bases de datos y alas computadoras personales, en claro contraste con la lentitud y la dispersión con el queavanza el derecho informático.

Es decir, mientras las tecnologías que sirven de apoyo a los delitos informáticos avanzanimpulsadas por turbo, las soluciones legales cojean.

Alerta roja

Según Hess, los delitos informáticos que se han registrado con más frecuencia en Costa Ricason los fraudes contra entidades bancarias y contra los emisores de tarjetas de crédito.

Sin embargo, alertó que se está poniendo de moda lo que en Estados Unidos se conoce como"phishing", que consiste en "ordeñarle" todos los datos financieros y personales a las víctimasa través de un correo electrónico fraudulento para luego timarlos.

Veamos cómo opera esto en la realidad. Resulta que a cualquier persona le llega un "mail"con características iguales o muy similares a las de su entidad bancaria, solicitándole actualizarsus datos debido a que el banco desea ofrecerles a todos sus clientes nuevos servicios. Deseguido se le pide al usuario o al cliente que haga clik en algún lugar para proceder a verificarsus datos financieros. El usuario se encuentra entonces ante una página web casi idéntica a

la de su banco y sin mayor vacilación escribe el número de su cédula, de su tarjeta de créditoy otros datos personales que le están pidiendo actualizar.

¡Cuidado! Por supuesto se trata de un correo fraudulento a través del cual el ciberdelincuenteobtiene los datos esenciales para poder ingresar a la cuenta de su presa y sustraerle todos losfondos. En esta nueva modalidad no hay que sortear ningún sistema de seguridad, ya que elmismo usuario está brindándole sus datos al delincuente, le está dando luz verde para que loestafe.

Legislación de parches y a pasito lento

Según los expertos, Costa Rica requiere de una inmediata actualización y centralización de lalegislación en materia de derecho informático. Tampoco es mucho lo que existe al respecto.

El Código Penal tipifica actualmente tres delitos informáticos: la violación de comunicacioneselectrónicas, el fraude informático y la alteración de datos y sabotaje informático. Este es elresultado de la primera acción que se dio para legislar en esta materia, en octubre del 2001,a través de la reforma al Código Penal que introdujo este delito.

Pero también existen algunas regulaciones a través de tres leyes especiales: la ley General deAduanas, el Código de normas y procedimientos tributarios y la ley de observancia a losderechos de propiedad intelectual.


17/34


18/34



I CICLO, 2016

varios ofendidos, no se le puede castigar a un delincuente dos ni tres veces por el mismodelito.

Ese principio se aplicó en Holanda en un caso de pornografía infantilen el que se pretendíaseguirle al delincuente varios procesos judiciales en distintos países por el mismo delito, peroél se defendió alegando este principio, con el cual al final fue juzgado en Holanda siguiendolas normas de este país.

Rezago

Según una investigación desarrollada por Castro, La tipificación y penalización de los delitosinformáticos ha tenido un desarrollo bastante lento. Fue en los años 70 cuando en EstadosUnidos y Europa se comenzó a emitir la normativa para regular todas las nuevas tecnologías,empezando con lo relacionado a la protección de los datos personales a través de las redes

de información, el fraude informático y la violación de las comunicaciones electrónicas.

Una década después, este tipo de normativas ya se habían consolidado en muchos de lospaíses desarrollados; en Hispanoamérica en cambio, la prioridad era superar la gran brechadigital entre países ricos y pobres.

Por esta razón Costa Rica se demora 20 años para comenzar a desarrollar legislacionesorientadas a proteger los datos personales, la intimidad, y a regular todo lo concerniente aluso de las herramientas tecnológicas, a la firma digital y a los delitos informáticos.

Claro, hay otros países más atrasados en estos avatares. Incluso aquellos catalogados comomenos desarrollados en la Organización Mundial del Comercio, OMC, los cuales ni siquiera

tienen proyectos de ley para proteger a sus poblaciones contra los delitos informáticos, puesse encuentran todavía ocupados en resolver trabas tan importantes como de conexión a lared, acceso al hardware, al software, al conocimiento tecnológico.

"Pareciera poco útil enfrascarse en discusiones sobre nueva legislación si la población nisiquiera tiene computadora y si la tuviera no sabría cómo usarla", aseguró Castro.

Responsabilidad de todos

Según el experto Christian Hess, el buscarle soluciones a los delitos informáticos no debe seruna tarea exclusiva de la Asamblea Legislativa, sino una responsabilidad de todos.

Nada se gana, dijo, con más dispositivos de seguridad tecnológica y con más legislación, si noeducamos al consumidor para que se despoje de su ingenuidad. "Yo diría que en estosmomentos el consumidor requiere de mucha educación, de mucha información. Esa tareadebería comenzar desde que los muchachos están en el colegio, y por lo tanto ahí lecorrespondería al Ministerio de Educación jugar un papel clave.

Por otro lado, las entidades financieras también tienen mucha responsabilidad en esteparticular, la misma SUGEF y hasta la Comisión Nacional del Consumidor".


19/34



I CICLO, 2016

Algunos delitos informáticos:

Fraudes a la industria y al comercioViolaciones a los entes públicos como bancos

Evasiones al fisco

Vaciamiento de fondos y transferencias electrónicas a cuentas personales

Apropiación de información ajena

Violación a secretos de Estado,

Delitos financieros que generan caos en las bolsas de valores

Lavado de dinero

Pornografía infantil

Fraude a tarjetas de crédito. El hacking es el delito informático clásico, se trata del acceso

no autorizado a sistemas informáticos ajenos utilizando redes públicas de telefonía otransmisión de datos, burlando las medidas de seguridad con fines de espionajeinformático: descubrir secretos o datos reservados de otros. También con fines deespionaje industrial: apoderarse de secretos de empresa, lo que ya de por sí genera ungran daño económico. También con fines de espionaje político, terrorista, obtención delucro personal por violación de intimidad.

Engaños en subastas en internet: adquiero un bien que nunca se me entrega, productosmilagrosos, cobros de accesos a internet a dominios que nunca sirven, ofertas deteletrabajo. El cracking se hace destrucción en el sistema informático, elimina o alterainformación, destruye el disco duro. Phreaking o defraudación de fluidos. Por ejemplodefraudación de llamadas internacionales con conexiones piratas. Defraudación de energíaeléctrica, agua, gas, señal de televisión, entre otros, valiéndose de mecanismos

instalados, alteración de contadores y usando otros medios clandestinos. Phishing:sustracción de datos personales y financieros a través de un correo electrónico para luegotimar a la víctima sustrayéndole todos sus fondos.

Perfil psicológico y sociológico:

La mayoría de piratas son autodidactas, anhelan poder y riqueza pero prefieren serrespetados por haber evadido más medidas de seguridad que por las sumas de dineroobtenidas en el delito; tienen un dominio total de las herramientas tecnológicas, conconocimiento especializado, obtenido a través de la academia o la experiencia. Noprovienen, en general, de zonas marginales. Es el delincuente que tiene alguna solvenciaeconómica que le permite acceder a elevados conocimientos tecnológicos y adquirir esa

tecnología.


20/34



I CICLO, 2016

Val IT 2.0 – Valor Empresario: Gobierno de las Inversiones en TI

Es sabido que las organizaciones hoy en día, no podrían llevar a cabo susoperaciones, ni tomar las oportunas decisiones estratégicas o tácticas, sinuna adecuada infraestructura de TI. Esto conlleva a continuar realizandosignificativas inversiones en Tecnologías de la Información.

La experiencia acumulada en los últimos años demuestra que las inversionesen TI, proporcionan oportunidades significativas para crear valor en las organizaciones, cuandose gestionan correctamente dentro de un marco de gobierno efectivo. Sin embargo, estasinversiones podrían tanto crear como destruir valor sin un adecuado marco de gobierno efectivo.

Este valor de negocio se genera por la forma en que las organizaciones utilizan TI, más que porlas tecnologías o sistemas en sí mismos, lo que implica una mayor complejidad y riesgo; máxime

teniendo en cuenta que el valor no es un concepto simple y su naturaleza varía según laorganización.

A pesar de esta dificultad herramientas, como por ejemplo el retorno de la inversión, se estánconvirtiendo en indicadores esenciales e indispensables para el gobierno de las TI. Asimismo,estos indicadores deben ser ajustados por una tasa de riesgo.

Ante esta problemática, el IT GovernanceInstitute(ITGI) ha creado Val IT – EnterpriseValue: Governance of IT Investments, queofrece buenas prácticas y guías generalmenteaceptadas para ayudar a directores y ejecutivos

a alcanzar la máxima rentabilidad de lasinversiones en TI.

Val IT ayuda a las organizaciones a:

• Incrementar la comprensión y transparencia de los costos, riesgos y beneficios, dando lugar

a una gestión mucho mejor informada.

• Incrementar la probabilidad de seleccionar las inversiones que tienen potencial de generar

un mayor retorno.

• Incrementar la probabilidad de éxito al ejecutar las inversiones.

• Reducir el costo por no hacer cosas que deben ser realizadas, y tomar acciones correctivas

al respecto.• Reducir el riesgo de falla y “sorpresas” en los costos y las entregas.

Introducción a Val IT

El objetivo del Val IT es ayudar a asegurar que las organizaciones consigan valor de lasinversiones en TI, con un costo adecuado y un aceptable nivel de riesgo. Esta propuesta del ITGIproporciona guías, procesos y prácticas de soporte para ayudar a la dirección a comprender yllevar a cabo las inversiones en TI.


21/34



I CICLO, 2016

Val IT establece que los proyectos de TI se manejen como una cartera de inversiones, con unvalor comercial y sean gestionados durante su ciclo de vida económico completo. Este marco

extiende y complementa a otra buena práctica como lo es COBIT, ya que se centra en la tomade decisiones sobre la inversión (¿estamos haciendo lo correcto?) y la obtención de beneficios(¿estamos consiguiendo beneficios?), mientras que COBIT se enfoca en la ejecución (¿estamoshaciendo las cosas de manera correcta? y ¿lo estamos haciendo bien?). La relación entre Val ITy COBIT se refleja de la siguiente manera:

• Val IT soporta los objetivos de negocio logrando un valor óptimo en las inversiones en TI,

dentro de un costo adecuado y con un aceptable nivel de riesgo.

• Guiado por un conjunto de principios aplicados en el proceso de gestión del valor.

• Que son posibles por las prácticas clave de control con referencias a COBIT que son medidas

por métricas de desempeño y resultado.

El Marco Val IT

Existen un conjunto de términos que se emplean dentro del marco del Val IT que definiremosantes de continuar:

• Valor . Resultado final del negocio después de una inversión en TI, donde el resultado

pueden ser financiero, no financiero o una combinación de ambos.

• Cartera. Una agrupación de programas, proyectos, servicios o recursos seleccionados para

optimizar el retorno de negocio.

• Programa. Un grupo estructurado de proyectos interdependientes que son necesarios y

suficientes para lograr resultado comercial y entregar valor. Estos proyectos incluyen:cambios en la naturaleza del negocio, procesos comerciales, el trabajo realizado por las

personas, así como las competencias requeridas para llevar a cabo el trabajo, habilitandotecnología y estructura organizacional. El programa de inversión es la unidad primaria deinversión dentro de Val IT.

• Proyecto. Un conjunto estructurado de actividades relacionadas para entregar a la empresa

una capacidad definida (eso es necesario pero NO suficiente para lograr un resultadocomercial requerido) basada en un plan acordado y presupuestado.

Val IT apoya el objetivo de negocio de realizar inversiones óptimas en TI y para ello se guía porun conjunto de principios:


22/34



I CICLO, 2016

• Las inversiones en TI serán gestionadas como una cartera de inversiones.

• Las inversiones en TI incluirán el alcance global necesario para lograr valor de negocio.

• Las inversiones en TI serán gestionadas a lo largo de un ciclo de vida económico.

• Las prácticas para la entrega de valor reconocerán que hay categorías diferentes de

inversiones que se evaluarán y gestionarán de manera diferente.

• Las prácticas para la entrega de valor definirán y supervisarán métricas clave y responderán

rápidamente a cualquier cambio o desviación.

• Las prácticas para la entrega de valor comprometerán a todos los stakeholders y asignarán

la responsabilidad apropiada para la entrega de las capacidades y la realización debeneficios para el negocio.

• Se supervisarán las prácticas para la entrega de valor continuamente, evaluándolas ymejorándolas.

Procesos y Prácticas de Gestión

Las prácticas de gestión son características de los procesos con éxito. Cada empresa necesitaconsiderar sus propias políticas, tolerancia al riesgo y el entorno antes de seleccionar lasprácticas de gestión que mejor se aplican a la empresa. Las prácticas de gestión clave vienenproporcionadas por los siguientes tres procesos:

1. Gobierno de Valor (VG, Value Governance), formado por 11 prácticas de gestión quecomprenden:

! Establecer el gobierno, seguimiento y control.

! Proporcionar dirección estratégica a las inversiones.

! Definir las características de la cartera de inversiones.

2. Gestión de Cartera (PM, Portfolio Management), formado por 14 prácticas de direcciónque engloban:

! Identificar y mantener los perfiles de los recursos.

! Definir los márgenes de la inversión.

! Evaluar, priorizar y seleccionar, aplazar o rechazar las inversiones.

! Dirigir la cartera global.

! Monitorear e informar el desarrollo de la cartera.

3. Gestión de Inversión (IM, Investment Management), formado por 15 prácticas de direcciónque cubren:

! Identificar los requisitos de negocio.

! Desarrollar una clara comprensión de los programas de inversión candidatos.

! Analizar las alternativas.


23/34



I CICLO, 2016

! Definir y documentar un caso de negocio detallado, incluyendo el detalle de losbeneficios.

! Asignar claramente las responsabilidades.

! Gestionar el programa a través de su ciclo de vida económico completo.

! Monitorear e informar el desarrollo del programa.

El conjunto total de prácticas se muestra a continuación:

Tabla 1. Prácticas de VAL IT

Gobierno del Valor (VG) Gestión de Cartera (PM) Gestión de la Inversión (IM)

VG1 Asegurar un liderazgoinformado y de confianza

PM1 Mantener un inventario derecursos humanos

IM1 Desarrollar una definiciónde alto nivel sobre la

oportunidad de la inversión

VG2 Procesos implementados ydefinidos

PM2 Identificar los requisitos delos recursos

IM2 Desarrollar un caso denegocio inicial

VG3 Roles y responsabilidadesdefinidas

PM3 Ejecutar un análisis de ladesviación

IM3 Desarrollar una claracomprensión de los programascandidatos

VG4 Asegurar una contabilidadapropiada y aceptada

PM4 Desarrollar un plan derecursos

IM4 Ejecutar un análisis dealternativas

VG5 Requisitos de informacióndefinidos

PM5 Monitorear la utilización derecursos y su utilización

IM5 Desarrollar un plan deprograma

VG6 Requisitos de informaciónestablecidos

PM6 Definir el umbral deinversión

IM6 Desarrollar un plan derealización de beneficios

VG7Estructurasorganizacionales establecidas

PM7 Evaluar el caso de negocioIM7 Identificar el ciclo de vidade los costos y beneficios

VG8 Dirección estratégicaestablecida

PM8 Evaluar y asignarpuntuación relativa alprograma del caso de negocio

IM8 Desarrollar un programadetallado del caso de negocio

VG9 Categorías de inversiónestablecidas

PM9 Crear una visión global dela cartera de inversión

IM9 Asignar contabilidaddetallada y responsable

VG10 Determinar la cartera deinversión objetivo

PM10 Realizar y comunicar ladecisión de la inversión

IM10 Iniciar, planificar y lanzarel programa

VG11 Definir los criterios deevaluación por categoría

PM11 Lanzar y sub-dividirprogramas seleccionados

IM11 Gestionar el programa

PM12 Ejecución organizada dela cartera de inversión

IM12 Gestionar y seguir losbeneficios


24/34



I CICLO, 2016

Gobierno del Valor (VG) Gestión de Cartera (PM) Gestión de la Inversión (IM)

PM13 Re-priorizar la cartera deinversión

IM13 Modificar el caso denegocio

PM14 Monitorear e informar dela ejecución de la cartera deinversión

IM15 Monitorear e informarsobre la ejecución del programa

IM16 Retirar el programa

Si bien las prácticas de dirección se presentan de manera secuencial, esto no implica unaaproximación “en cascada”, de alguna manera existe una secuencia lógica entre prácticas, yotras deberían ser llevadas a cabo en paralelo. Empezando desde el mayor nivel de abstracción,se podría decir que:

• El gobierno del valor establece el marco global de gobierno, la dirección estratégica, lascaracterísticas deseadas de la cartera de inversión, así como recursos y restricciones en lasque la cartera de inversión debe ejecutarse.

• La dirección de inversiones define el programa potencial, basándose en los requerimientos

del negocio, determinando si merecen ser considerados y enviando los programas deinversión candidatos para su evaluación, en base a su alineación con los objetivosestratégicos, el valor comercial, financiero y no financiero, y el riesgo tanto en laconsecución como en los beneficios.

• La dirección de la cartera de inversión evalúa y prioriza programas, dentro de los recursos

y las restricciones, y enviando los programas seleccionados a la cartera activa para suejecución.

• La dirección de inversiones lanza y gestiona la ejecución de los programas activos e informa

sobre el desarrollo a la dirección de la cartera de inversión.• La dirección de la cartera de inversión monitorea el funcionamiento del todo, ajustándola

cuando sea necesario, en respuesta a cómo se esté ejecutando el programa o a cambios enlas prioridades del negocio.

• La dirección del programa retira los programas cuando hay acuerdo en que el valor deseado

ha sido obtenido.

El Caso de Negocio

Un caso de negocio es una propuesta estructurada de negocio, que se justifica en términos decosto – beneficio y que debe ser un prerrequisito a la hora de iniciar un proyecto. ITGI destacaque el caso de negocio es una de las herramientas más valiosas a la hora de guiar la generaciónde valor, y que la experiencia ha demostrado que la calidad del caso de negocio, los procesosimplicados en su creación y su uso a través del ciclo de vida económico de una inversión tienenun impacto enorme en la creación de valor.


25/34



I CICLO, 2016

El caso de negocio muestra a alto nivel las necesidades económicas del proyecto, incluyendo elpor qué del proyecto, el valor de negocio esperado, beneficios, alternativas, condiciones de

cancelación del proyecto, costos esperados, análisis de desviación, riesgos. El caso de negociodebe incluir respuestas a las 4 preguntas:

• ¿Estamos haciendo lo correcto? Que se propone, para que beneficios de negocio y como

contribuyen los proyectos dentro de los programas.

• ¿Lo estamos haciendo correctamente? Como se realizará y que se está haciendo paraasegurarnos que encajará con actuales y futuras capacidades.

•

¿Lo estamos logrando bien? Cuál es el plan de trabajo y qué recursos y fondos son necesarios.

• ¿Estamos obteniendo los beneficios? Cuál es el valor del programa y como se entregaran y

realizaran los beneficios.

El desarrollo del caso de negocio debería ser liderado por el patrocinador del mismo y debeimplicar a todos los involucrados, desarrollando y documentando los resultados previstos delnegocio. Se debe describir cómo se medirán los resultados del negocio y el alcance completode las iniciativas requeridas para alcanzar los resultados previstos, incluyendo cualquier cambiorequerido en la naturaleza del negocio de la empresa, en el proceso de negocio, en lashabilidades y competencias de las personas, en la tecnología y la estructura organizacional. Elcaso de negocio debe también identificar indicadores para monitorear la validez de cadasupuesto, los riesgos clave, la terminación exitosa y el logro de los resultados esperados, juntocon las acciones de mitigación.

La decisión de si proceder con una inversión se realiza primero a nivel de programa individual y

por el patrocinador de la misma, quien determina si el caso de negocio es suficientemente sólidopara ser evaluado a nivel de la cartera de inversión, donde se evalúa el valor relativo delprograma frente a otros programas activos y candidatos. Para facilitar este proceso debe haberun sistema normalizado, incluyendo beneficios financieros y no financieros, y los riesgos paracasos individuales de negocio.

Estructura del caso de negocio

Un caso de negocio para una inversión en TI considera las siguientes relaciones de causalidad:


26/34



I CICLO, 2016

Componentes del caso de negocio • Cada uno de los flujos de actividad tiene un número de componentes esenciales para

evaluar el caso de negocio por completo. Estos componentes juntos forman la base paraun modelo analítico, que se define de la siguiente manera:

• Resultados, que se buscan de manera clara y medible, incluyendo resultados intermedios(que son necesarios pero no suficientes para alcanzar el beneficio final) y los resultadosfinales (los beneficios finales del negocio que deben ser realizados). Estos beneficiospueden ser financieros o no financieros.

• Iniciativas, procesos de negocio, gente, tecnologías y acciones/proyectos organizacionales

que contribuyan a uno o más resultados.• Contribuciones, medibles y esperadas desde iniciativas o resultados intermedios de otras

iniciativas o resultados.

• Supuestos: Hipótesis respecto a las condiciones necesarias para la realización de losresultados o iniciativas, pero sobre las cuales la organización del programa tiene poco oningún control. La evaluación del riesgo, representada por supuestos y restriccionesrespecto a costes, beneficios y alineación, es la parte principal del proceso del caso denegocio.

Otros componentes que se identifican en el caso de negocio son los recursos requeridos para eldesarrollo de todas las actividades, así como los gastos de adquisición y, si es necesario,

mantenimiento de los recursos.Desarrollo del caso de negocio

Val IT propone desarrollar el caso de negocio en ocho pasos:

• Paso 1. La construcción de una hoja de hechos con todos los datos.

• Paso 2. Análisis de alineamiento estratégico.

• Paso 3. Análisis de beneficios financieros.

• Paso 4. Análisis de beneficios no financieros.

Son Necesarios para desarrollar

Un servicio de tecnología de TI que dará soporte a,

Una capacidad de operación que permitirá,

Generar una capacidad de negocio que creará

Valor , que se estará representado por un resultadofinanciero ajustado por una tasa de riesgo o por el

retorno total al accionista


27/34



I CICLO, 2016

• Paso 5. Análisis de riesgo.

• Paso 6. Valoración y optimización del riesgo/retorno de la inversión en TI.

• Paso 7. Registro estructurado de los resultados de los pasos previos y documentación del

caso de negocio.

• Paso 8. Revisión del caso de negocio durante la ejecución del programa, incluyendo el ciclo

de vida completo de los resultados del programa.

Cómo empezar

El liderazgo del proceso de reconocimiento varía de empresa a empresa y en su determinación,se debe reconocer que el tema de la obtención de valor de las inversiones posibilitadas por ITno es un tema de tecnología, sino que es un tema de negocios.

Sin importar de donde viene el liderazgo necesario para este proceso, generalmente laincorporación de estas prácticas genera un cambio organizacional que necesita delinvolucramiento y soporte de la gerencia general y ejecutiva.

El primer paso para reconocer donde estamos en el proceso, es la detección de los puntos dedolor, los eventos externos disparadores y otros síntomas que indican la necesidad de reconocerla entrega de valor. Esta actividad de reconocimiento nos indicará el grado de madurez de laorganización en este tema y a partir de allí se podrá realizar un análisis de “gaps” entre elestado actual y el deseado y se podrá construir un plan de acción con los cambios necesarios.

Val IT define los seis estados en los cuáles puede estar una organización en el proceso dereconocimiento de la entrega de valor por las inversiones posibilitadas por IT.

Referencias The Val IT Framework. IT Governance Institute. Val IT – Enterprise Value: Governance of IT

Investments, ITGI 2006

The Four Ares’s – John Thorp – The Information Paradox

Gestión de tecnologías de información

Teoría de RiesgosEn la economía global, las organizaciones necesitan tomar riesgos para sobrevivir – la mayoría de ellasnecesitan incrementar el nivel de riesgos que toman para ser exitosas a largo plazo. Con el significativoincremento en la competencia, los objetivos y metas agresivos de las corporaciones se están convirtiendoen norma. Para direccionar este cambio, los líderes mundiales están fortaleciendo sustancialmente susprácticas de administración de riesgos para asegurar que si las iniciativas o el funcionamiento de lasunidades de negocio “se descarrilan”, esto se identifique rápidamente para poder actuar para corregir lasituación.

Riesgos


28/34



I CICLO, 2016

El estudio y manejo de los riesgos no es un tema nuevo, de una u otra forma, las organizaciones hanvenido desarrollando acciones tendientes a darle un manejo adecuado a los riesgos, con el fin de lograr

de la manera más eficiente el cumplimiento de sus objetivos y estar preparados para enfrentar cualquiercontingencia que se puede presentar.

Qué es el Riesgo?

Exposición a sufrir pérdidas, que tiene incertidumbre en cuanto a la ocurrencia determinados eventosque pueden resultar en su perjuicio.

Concepto utilizado por los auditores y los gerentes para expresar sus preocupaciones sobre los efectosque un ambiente incierto podría provocar.

Qué es una Consecuencia?

Resultados tangibles (nivel de impacto) del riesgo sobre las decisiones, eventos o procesos de negocios.

Debido a que el futuro no se puede predecir con certeza, los auditores y los gerentes tienen que

considerar una gama de posibles sucesos que puedan ocurrir. Cada uno de estos sucesos podría tener unefecto material (una consecuencia significativa) sobre la empresa y sus metas. A las consecuenciasnegativas se les llaman “riesgos” y a las positivas, se les llama “oportunidades”.

Las consecuencias pueden variar en severidad, dependiendo de:

• El establecimiento de Riesgos (la exposición)

• El tipo de amenaza

• La duración de la consecuencia

• La efectividad de los controles establecidos

Qué es Exposición?

Es la susceptibilidad hacia una pérdida, o una percepción de una amenaza sobre un proceso, usualmente

cuantificado en términos monetarios.Qué es una Amenaza?

Es una combinación del riesgo, la consecuencia de ese riesgo y la posibilidad de que un evento negativose materialice.

Tipos de Riesgo

• Financieros – Los que implican una pérdida principalmente de tipo monetario

• Operacionales – Emergen del potencial de pérdida debida a deficiencias significativas en laconfidencialidad, integridad y disponibilidad de los componentes que soportan la operación de lossistemas.

• Tecnológicos – Surgen del estado de funcionamiento de los recursos tecnológicos utilizados.

• Reputación – Pérdida de credibilidad en el buen funcionamiento y operación del negocio, que generauna pérdida financiera significativa o un retiro masivo de clientes.

• Legales – Surge de la violación o incumplimiento de las normativas legales vigentes, reglamentos deoperación, obligaciones contractuales de las partes, en relación con el manejo de los procesos.

Ponderación de los Riesgos – La duración de la consecuencia afecta su severidad, por lo que los riesgospueden ser referenciados en términos de que la probabilidad de ocurrencia sea grande, promedio oremota.

• Alto – Impacto severo

• Medio – Mediano Impacto


29/34



I CICLO, 2016

• Bajo – Impacto no elegible / remoto

La perspectiva del riesgo cambia con el nivel de evaluación. Las principales fuentes de riesgo son:

Activos - recursos humanos, físicos, financieros y de información – involucrados en el proceso de negocios.Esto incluye el tamaño, tipo, portabilidad y ubicación de los activos, así como estos activos estánexpuestos al riesgo dentro de un proceso de negocios (el riesgo inherente de hacer o no las tareas).

Ambientes - clientes, mercados, competidores, proveedores, regulaciones gubernamentales, tecnología,etc. – en el ambiente de negocios y como éstos pueden cambiar a lo largo del tiempo.

Qué es Administración de Riesgos?

“Es el proceso continuo basado en el conocimiento, evaluación, manejo de los riesgos y sus impactos quemejora la toma de decisiones organizacionales.”

Es el término asociado al conjunto de pasos secuenciales, lógicos y sistemáticos que debe seguir elanalista de riesgos para identificar, valorar y manejar los riesgos asociados a los procesos de la

Organización, los cuales ejecutados en forma organizada, le permiten encontrar soluciones reales a losriesgos detectados minimizando las pérdidas o maximizando las oportunidades.

Beneficios de la Administración de Riesgos

Organizaciones que han aplicado enfoques efectivos de administración de riesgos, han reportado entreotros los siguientes beneficios:

A nivel organizacional –

• Alcance o logro de los objetivos organizacionales

• Énfasis en prioridades de negocio: permite a los directivos enfocar sus recursos en los objetivosprimarios. Tomar acción para prevenir y reducir pérdidas, antes que corregir después de los hechos,es una estrategia efectiva de administración del riesgo.

• Fortalecimiento del proceso de planeación

• Apoyo en la identificación de oportunidades

• Fortalecimiento de la cultura de autocontrol

Al proceso de administración –

• Cambio cultural que soporta discusiones abiertas sobre riesgos e información potencialmentepeligrosa. La nueva cultura tolera equivocaciones pero no tolera errores escondidos. También haceénfasis en el aprendizaje de los errores

• Mejor administración financiera y operacional al asegurar que los riesgos sean adecuadamenteconsiderados en el proceso de toma de decisiones. Una mejor administración operacional generaráservicios más efectivos y eficientes. Anticipando los problemas, los directivos tendrán mayoroportunidad de reacción y tomar acciones. La organización será capaz de cumplir con sus promesasde servicio.

•

Mayor responsabilidad de los administradores en el corto plazo. A largo plazo, se mejorarán todas lascapacidades de los directivos.

Características Generales

• Debe estar apoyada por la Alta Gerencia de la Organización

• Debe ser parte integral del proceso administrativo utilizado por la Dirección de la Organización

• Es un proceso multifacético y participativo, el cual es frecuentemente mejor llevado a cabo por unequipo multidisciplinario

Etapas del Proceso de Administración de Riesgos


30/34



I CICLO, 2016

1. Establecimiento del Contexto General – Permite a través del conocimiento del entorno y de laorganización, establecer las políticas y criterios generales que serán utilizados para implementar el

enfoque de Administración de riesgos en cualquier área de la Organización.Durante esta etapa, se deben establecer las políticas y criterios generales que serán utilizados parala aplicación del enfoque de Administración de Riesgos en cualquier área de la organización

Consiste en identificar las relaciones entre la organización y su entorno, entender la organización,sus objetivos, estrategias, capacidades y habilidades, así como identificar todos aquellos objetos(áreas, procesos, proyectos, etc.) de la organización, a los cuales se podría aplicar un Análisis deRiesgos y permite determinar mediante el uso de los criterios generales definidos previamente, sobrecuáles de ellos debe realizarse el análisis.

a. Establecer el Contexto Estratégico – Definir la relación entre la organización y el ambiente en

el que opera - Aspectos financieros, operacionales, competitivos, políticos, imagen, sociales,clientes, culturales y legales, fusiones, organización, propietarios, personal, proveedores,comunidad local y sociedad

b. Establecer el Contexto Organizacional – Entender la organización, sus capacidades y

habilidades. Conocer sus objetivos y estrategias (cómo opera internamente) - Objetivos delnegocio, según COSO (de operaciones, de información financiera y de cumplimiento legal),rentabilidad crecimiento institucional, posicionamiento, competitivo, imagen, servicio al cliente,productividad, calidad, recursos humanos, impacto en la comunidad

c. Identificar Objetos Críticos – Areas, procesos o actividades o cualquier elemento en que se pueda

subdividir la organización y sobre los cuales se pueda efectuar administración de riesgos. Definirlos criterios bajo los cuales e pueda establecer la criticidad de un objeto respecto a otro. -Criterios de pérdida financiera, de imagen, incumplimiento de la misión, etc. Que permitanelaborar una clasificación de las áreas, proyectos, procesos, sistemas o actividades sobre loscuales se llevará a cabo la administración de riesgos

2.

Identificación de Riesgos – Mediante el establecimiento de un marco de acción específico que permitaentender el objeto sobre el cual se aplicará el proceso de Administración de Riesgos. Consiste además,en definir los criterios específicos del análisis de riesgos y determinar el nivel de aceptación de riesgosque la organización está dispuesta a aceptar para este proceso.

El propósito final de esta etapa es proveer los mecanismos necesarios para recopilar la informaciónrelacionada con los riesgos, impactos y sus causas.

Importante en esta etapa, es la Identificación de Riesgos. Para la mayoría de partes, los riesgos sonpercibidos como cualquier cosa o evento que podría afectar que la organización alcance sus objetivos.

Por consiguiente, para estas organizaciones, la administración de riesgos no se realiza sobre “riesgosadversos”. La administración de riesgos no está dirigida exclusivamente a evitarlos. Su enfoque estáen identificar, evaluar, controlar y “dominar los riesgos. Administración de riesgos también significatomar ventaja de las oportunidades y tomar riesgos basados en decisiones informadas y análisis de

resultados.

a. Establecer un marco específico de administración de riesgos - Entender la actividad o parte de la

organización para la cual se aplicará el proceso de administración de riesgos.

Definición de los objetivos, estrategias, alcance y parámetros de la evaluación de riesgos arealizar.

b. Desarrollar criterios de evaluación de riesgos – Definir e identificar los criterios de análisis y elnivel de aceptación de los riesgos.

Documents

Antología DN-0472 Gerencia Base de Datos 2016