L AS TECNOLOGÍAS DE INFORMACIÓN EN LA GESTIÓN DE NEGOCIOS

L

AS TECNOLOGÍAS DE INFORMACIÓN EN

LA GESTIÓN DE NEGOCIOS

Antecedentes

El aumento de la dependencia tecnológica que caracteriza el desarrollo de las actividades financieras, la escala y los costos de las inversiones actuales y futuras en sistemas de información, la proliferación de amenazas y eventos no deseados; y el potencial que poseen las tecnologías para cambiar drásticamente los procesos de negocio de las organizaciones, hacen necesario que la gestión del riesgo tecnológico se realice de acuerdo con las mejores prácticas en la materia.

Las organizaciones gastan demasiado dinero en tecnología y no logran obtener el verdadero valor de las inversiones relacionadas con el cumplimiento de normas.

También desperdician considerables recursos al duplicar esfuerzos de capacitación, documentación, aplicación de políticas, administración y auditoría.

Básicamente, un método reactivo no permite crear un programa integral y sostenible para cumplir los requerimientos de cumplimiento de normas y los requerimientos más amplios de administración de riesgos de información y seguridad.

Las organizaciones deben enfrentar una gran gama de requerimientos al nivel de cumplimiento normativo.

El entorno regulatorio, las tendencias y las políticas internas, dificultan a las funciones de cumplimiento y seguridad de TI superar la curva. Se obliga a las organizaciones a actuar de manera reactiva y administrar el cumplimiento de normas como proyecto a medida que surgen nuevos requerimientos.

¿El resultado? Por lo general, esta respuesta reactiva, genera una enorme cantidad de controles, políticas y procedimientos tecnológicos redundantes que se superponen.

La información

Cada vez más, la alta dirección se está dando cuenta del impacto significativo que la información puede tener en el éxito de una empresa.

En particular, la alta dirección necesita saber si con la información administrada en la entidad, es posible que:

• Se garantice el logro de sus objetivos

• Tenga suficiente flexibilidad para aprender y adaptarse

• Cuente con un manejo juicioso de los riesgos que enfrenta

• Garantizar la seguridad de la información de negocio y la continuidad del mismo.

• Proteger la información para cumplir con las regulaciones.

• Evitar que se comentan acciones ilícitas o delictivas haciendo uso de la infraestructura de la organización:

§ Interna: empleados o colaboradores de la organización

§ Externa: Intrusos en nuestros sistemas

• Control interno para evitar manipulaciones en los datos

• Códigos de Buen Gobierno

• Responsabilidad Social Corporativa

• Delimitar responsabilidades personales

La información y la tecnología relacionada con ella son tan importantes para el negocio que no se deben dejar sólo en manos de los técnicos informáticos.

La alta dirección es, pues, responsable de entender la función de las tecnologías de

información, de saber cómo puede esta función apoyar sus objetivos de negocio y de cómo pueden incluso plantear nuevos objetivos y servicios gracias a las tecnologías de información.

Criterios de Información

Para satisfacer los objetivos del negocio, la información necesita adaptarse a ciertos criterios de

control, identificados como requerimientos de información del negocio.

• La efectividad – información relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable.

• La eficiencia - la información se genere con el óptimo (más productivo y económico) uso de los recursos.

• La confidencialidad - la protección de información sensitiva contra revelación no autorizada.

• La integridad - la precisión y completitud de la información, así como con su validez de acuerdo con los valores y expectativas del negocio.

• El cumplimiento - acatar las regulaciones y acuerdos contractuales a los cuales está sujeto el proceso de negocio, es decir, criterios de negocios impuestos externamente, así como políticas internas.

• La confiabilidad - proporcionar la información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno.

Gobernabilidad

El concepto de Gobierno corporativo, es el conjunto de principios que norman el diseño, integración y funcionamiento de los órganos de gobierno de la empresa, como son el Consejo de Administración y sus Comités de apoyo. Apareció hace algunas décadas en los países más desarrollados del oeste de Europa, en Canadá, los Estados Unidos y Australia, como consecuencia de la necesidad que tenían los accionistas minoritarios de una empresa de conocer el estado que guardaba su inversión; esto es, querían saber qué se estaba haciendo con su dinero y cuáles eran las expectativas futuras. Esto hizo que los accionistas mayoritarios de un negocio y sus administradores, iniciaran un proceso de apertura de la información, al mismo tiempo de profesionalización y transparencia en el manejo del mismo.

En el mundo, el mercado de valores, los fondos de pensiones, sociedades mutualistas, compañías de seguros, sociedades de capital de riesgo y otros similares, forman parte importante del sistema financiero y las necesidades de información sobre su inversión han sido definitivas en la incorporación a las empresas de las llamada mejores prácticas corporativas. La Organización para la Cooperación y el Desarrollo Económicos (OECD), emitió en mayo de 1999 sus “Principios de Gobierno Corporativo” en los que se encuentran las ideas básicas que dan forma al concepto que es utilizado por los países miembros y algunos otros en proceso de serlo.

Los principios de la OECD contemplan que el marco de GC debe:

• Proteger los derechos de accionistas.

• Asegurar el tratamiento equitativo para todos los accionistas, incluyendo a los minoritarios y a los extranjeros.

• Todos los accionistas deben tener la oportunidad de obtener una efectiva reparación de los daños por la violación de sus derechos.

• Reconocer los derechos de terceras partes interesadas y promover una cooperación activa entre ellas y las sociedades en la creación de riqueza, generación de empleos y logro de empresas financieras sustentables.

• Asegurar que haya una revelación adecuada y a tiempo de todos los asuntos relevantes de la empresa, incluyendo la situación financiera, su desempeño, la tenencia accionaria y su administración.

• Asegurar la guía estratégica de la compañía, el monitoreo efectivo del equipo de dirección por el consejo de administración y las responsabilidades del Consejo de Administración con sus accionistas.

mundo. Este programa incluye la celebración de mesas redondas por regiones geográficas, así, en América Latina se han llevado a cabo cuatro mesas redondas Latinoamericanas de GC. La primera se celebró en el año 2000 en Sao Paulo, Brasil; la segunda en 2001 en Buenos Aires, Argentina; la tercera en 2002 en la Ciudad de México y la cuarta en 2003 en Santiago de Chile, Chile.

Hoy en día es tan importante el Gobierno Corporativo como un desempeño financiero eficiente. Se dice que alrededor del 80% de los inversionistas pagarían más por una compañía con un buen GC; y como no, si este elemento le brinda una mayor seguridad a su inversión ya que asegura sanas prácticas corporativas. Entre mayor transparencia e información exista, mayor es la confianza de los inversionistas en el mercado. Por lo anterior el GC lejos de ser una moda, se considera un concepto necesario para la sostenibilidad y crecimiento de las empresas.

Gobierno Corporativo – Prioridades 2015 de las juntas directivas – por Ray Wang

Las juntas directivas de los líderes del mercado y organizaciones seguidoras rápidas adoptan medidas para combatir el abismo digital al que se enfrentan.

Constellation Research encuestó a más de 200 CXO y ha identificado 10 prioridades de las juntas directivas para 2015. Como se preveía, la transformación digital se ha convertido en un tema importante y los líderes en el mercado y los seguidores rápidos, buscan orientación sobre qué elementos son necesarios en el diseño para apoyar negocio digital.

La transformación digital se define como la metodología en la que las organizaciones se transforman y crean nuevos modelos de negocio y cultura con las tecnologías digitales. El conductor de la transformación digital se deriva del hecho de que desde el año 2000, el 52 por ciento de las empresas del Fortune 500 han quebrado, se han comprado o ha dejado de existir.

De estos líderes del mercado y los seguidores rápidos surgieron diez prioridades fuertemente sesgadas hacia el extremo superior de la “Jerarquía de necesidades corporativas” de Constellation.

1_{Research Report: Inside The 2015 Boardroom Priorities (Parts 1 & 2), Published on December 16, 2014 by R “Ray”}

Las prioridades de las juntas directivas reflejan la urgencia del cambio a velocidad digital

.

Después de la categorización de las prioridades de las juntas de acuerdo con la Jerarquía de necesidades corporativas” de Constellation, surgieron 10 tendencias en las cinco categorías. Es de destacar que un mayor número de prioridades para 2015 surgió en el mayor nivel de necesidades. Este cambio con las encuestas anteriores indica un deseo de cambiar de estrategia o embarcarse en la transformación del negocio.

Prioridades de marca apoyan la entrega de autenticidad en ambos mundos analógico y digital

1. Inversión en presencia digital. Las personajes digitales no sólo deben reflejar la marca, sino también ampliar la experiencia analógica. Las marcas líderes son conscientes de invertir en la experiencia digital con un ojo hacia la personalización en masa y a escala. Mientras que la publicidad juega un papel clave en la realización del mensaje, la inversión en el diseño de experiencias digitales emerge como el área caliente de la inversión.

2. Entrega consistente de la experiencia del cliente (CX). Miembros de la Junta en mercados altamente competitivos hacen hincapié en la necesidad de mejorar y ampliar la experiencia del cliente con el fin de aumentar el valor vitalicio del cliente. Se dan cuenta que estas iniciativas requieren tanto un modelo de compromiso sostenible a través de las comunidades y una dimensión de lealtad a través de “gamification” y el intercambio de valor. La zona más caliente del crecimiento es la experiencia post-venta que incluye la instalación, garantía, servicio, capacitación, migración y actualización.

La diferenciación estratégica se centra en técnicas de transformación digital proactiva y reactiva

3. La transformación digital de los negocios. Los líderes están luchando para crear nuevos modelos de negocio a través de las tecnologías de punta. Una tendencia incluye la introducción de nuevas unidades – los modelos de negocio de costos. Estos modelos de negocios tratan de ofrecer la menor unidad de producto o servicio a un cliente y luego buscar modelos de suscripción para la previsibilidad a largo plazo. Además, los líderes

Marca

Estratégica

Ingresos y

Crecimiento

Costo y Eficiencia

Operativa

están esperanzados de aprovechar la escala de la tecnología digital para cumplir con la meta a largo plazo, que son segmentos de clientes de uno.

4. Respuesta rápida a los competidores no tradicionales. Con el surgimiento de competidores no tradicionales para casi todos los segmentos de mercado, las juntas están pidiendo a sus equipos de gestión para crear equipos SWAT para identificar proactivamente potenciales competidores en el mercado. El objetivo – crear posibles respuestas a los escenarios del mercado basado en los nuevos modelos de negocios y las tecnologías de punta.

5. Creación modelos de negocio impulsado por información interna. Se espera que las organizaciones entreguen el 20% de su crecimiento en los ingresos de los modelos de negocio de grandes datos para 2020. La intermediación de conocimientos como un distribuidor de proveedores de contenidos, la red o proveedor de brazos surge como nueva fuente de diferenciación competitiva y también una fuente de ingresos. Las organizaciones deben crear la capacidad de ofrecer conocimiento propio y alimentar a agentes de información como Thomson Reuters y Bloomberg.

Estrategias de crecimiento e ingresos se preparan para estrategias altamente especializadas e inorgánicas

6. Priorizar el desarrollo de una cultura de alto rendimiento. La guerra por el talento continúa en el extremo superior del espectro de contratación. De hecho, el mercado es altamente competitivo para el 10% de la fuerza laboral. ¿Por qué? A pesar de la contratación de un menor número de trabajadores, la mayoría de las organizaciones prioriza la calidad sobre la cantidad. Además, la jubilación esperada de una generación altamente cualificada y experimentada crea un vacío de trabajadores cualificados no sólo en los primeros lugares, sino también en el medio de la base de empleados.

7. Preparación para el crecimiento inorgánico. Capital barato, las ambiciones de acumulación de la cartera de patentes de crecimiento global, guerra por el talento, y la disminución de los márgenes impulsa las fusiones, adquisiciones y joint ventures. Por otra parte, el carácter esquivo de crecimiento orgánico reta a las juntas a considerar fusiones y adquisiciones como un acelerador de la propiedad intelectual, el talento, la base de clientes y redes asociadas. El objetivo es crear ecosistemas de plataforma y atraer socios para co-crear y co-innovar.

El costo y la eficiencia operativa siguen siendo un pilar importante mediante la automatización e integración luego de la fusión

8. Automatización masiva de mano de obra y el pensamiento. La automatización se expande tanto en la gama baja como en la gama alta del mercado. Los líderes invierten en robótica, Internet de los objetos, y la realidad aumentada. La santificación de puestos de trabajo en el medio se expandirá ya que las máquinas se vuelven más inteligentes y se incrementan los costos reglamentarios de la asistencia sanitaria para aumentar la seguridad. Los sistemas de gestión de la Decisión aprenderán a hacer recomendaciones más coherentes e inteligentes basados en aprendizaje automático y algoritmos. De las cadenas de suministro a la experiencia del cliente, la automatización avanza a un ritmo rápido de cambio.

completar no sólo una fusión y adquisición, sino también expulsar costos, fusionar las líneas de productos, mejorar las ventas nuevas y otros productos a los clientes actuales, aumentar la cuota de mercado, y mejorar rentabilidad. Los líderes experimentados preparan para la escala mediante la construcción de capacidades directas y Plataforma para el núcleo y el aprovechamiento de los proveedores de servicios tercerizados para necesidades no básicas.

Cumplimiento Normativo

10. Reducción del costo de cumplimiento normativo y seguridad. Como prolifera el cumplimiento normativo y las amenazas a la seguridad, las organizaciones buscan capacidades para reducir el costo. Las soluciones incluyen la creación de servicios compartidos entre los competidores para hacer frente a los requisitos reglamentarios y procesos básicos comunes.

La línea base: el darwinismo digital es cruel para los que esperan

Lamentablemente, en casi todos los segmentos, los tres principales competidores controlan el 43 a 71 por ciento de la cuota de mercado y del 53 a 77 por ciento de las ganancias. En el espacio de la tecnología sólo 80 empresas desde 2000 han hecho que el club del multimillonario. Mientras tanto, la intensa competencia, el pensamiento a corto plazo de los accionistas a corto plazo, y la inversión mínima entorpecen el ritmo de inversión e innovación requerida por los líderes de negocio para sobrevivir el panorama competitivo de hoy.

Mientras que las juntas no han sido complacientes con el tratamiento del cambio, los últimos cinco años han demostrado la diferencia entre los que invirtieron en la transformación digital y los que no lo han hecho. El abismo corporativo digital es enorme entre los líderes del mercado, seguidores rápidos, y todos los demás. Los miembros de la junta astutos se dan cuenta que deben invertir en el cambio transformacional para enfrentar un darwinismo digital vicioso.

¿Qué es el gobierno de TI?

El gobierno de TI es parte integral del gobierno corporativo y consiste en el liderazgo, los procesos y las estructuras que aseguran que las tecnologías de la organización apoyen los objetivos y estrategias de la empresa. Su objetivo es asegurar que las tecnologías aportan valor a la empresa y que el riesgo asociado a ellas está bajo control. Para extraer valor de la tecnología, es necesario alinear las TI con la estrategia de negocio. Por su parte, la gestión del riesgo tiene múltiples dimensiones que incluyen aspectos como la seguridad, la recuperación de desastres o la privacidad.

¿Qué aspectos debe considerar un buen gobierno de TI?

Peter Weill y Joanne Ross, profesores del MIT y autores de “IT Governance: How Top Performers Manage It Decision Rights for Superior Results”, recomiendan definir entre seis y diez mecanismos en torno a tres aspectos: la estructura de toma de decisiones (de modo que quede claro quien decide y es responsable de tales decisiones), los procesos de alineación (un gobierno efectivo actúa más que decide) y las comunicaciones formales (explicar el porqué de las decisiones contribuye a que toda la empresa las entienda y apoye).

¿Existe alguna metodología estándar para dirigir las TI?

Hay muchos tipos de mecanismos y técnicas de gobierno de TI. Aunque diversas asociaciones han desarrollado metodologías para ayudar a las empresas a gestionar sus sistemas de información, los expertos remarcan que no existe el marco ideal, sino que son complementarios entre ellos. Por ello, la mayoría de empresas están desarrollando sus propios modelos de gobierno de las TI, tomando prestado lo que más les interesa de cada metodología oficial. Uno de los marcos que está ganando popularidad en la comunidad mundial de TI es la ‘IT Infrastructure Library’ (ITIL), inicialmente desarrollada en el Reino Unido por la Oficina de Comercio del Gobierno (OGC). En cierto modo, ITIL explica cómo acometer las medidas de un gobierno de TI, mientras que la metodología Control de Objetivos para la información y Tecnologías Relacionadas (COBIT) se centra en qué medidas adoptar. Desarrollada por la Asociación de Auditoría y Control de los Sistemas de la Información (ISACA), COBIT es fuerte en control y medición. Por último, la Organización Internacional para la Estandarización (ISO) ha desarrollado la ISO 17799, bajo el nombre de “Tecnologías de la Información. Código de prácticas de la gestión de la seguridad de la información”, muy enfocado a la seguridad. En el mercado existen diversas soluciones, de fabricantes como i2 Technologies, IBM o Microsoft, que implementan las mejoras prácticas de alguna de estas metodologías para ayudar a las empresas a desarrollar sus gobiernos de TI.

¿Cuáles son los principales retos y dificultades de un gobierno de TI?

En primer lugar, la falta de conocimiento sobre qué implica este tipo de mecanismos. También falta concienciación sobre la necesidad de contar con ellos: un estudio de Manager Objects señala que el 41 por ciento de los directores de TI no planean adoptar principios de gobierno de TI. El mismo estudio destaca que, de los 179 directores de TI británicos encuestados, más de una tercera parte citan la falta de tiempo y dinero como las principales razones para no medir el rendimiento de sus sistemas. Además, los expertos señalan la dificultad de identificar las medidas clave para calcular el rendimiento de las TI. Por último, implantar un gobierno de TI significa no sólo adoptar las herramientas correctas, sino que obliga a las empresas a adaptar y repensar todos sus procesos.

¿Gobierno de TI o Gestión de TI? La opinión de Mark Toomey

con datos, XML, computación verde, computación en la nube, tercerización, procesos, y probablemente al fregadero de la cocina.

Llamar a algo gobierno sin ninguna otra explicación, no conduce a nada excepto a la confusión. Y no solo confunde a las personas de TI – confunde a los gerentes, ejecutivos y directores de las empresas – porque para cada una de esas comunidades, la palabra tiene sutiles diferencias de significado.

El problema de distinguir entre Gobierno y Gestión, va más allá de simplemente definir los términos. Requiere que construyamos un entendimiento de cómo el Gobierno y la Gestión se mezclan entre sí, para proveer un completo control efectivo y supervisión de una organización, con respecto a cómo esta organización utiliza TI.

Un Marco para el Gobierno y la Gestión de TI

ISO/IEC 38500 es frecuentemente citado como uno de los marcos de trabajo disponibles para el gobierno de TI – junto a CobiT, ITIL, ISO 20000 e ISO 27000. Mientras que es bueno ver que el estándar es reconocido como una herramienta relevante, es incorrecto clasificarlo de esa manera. ¿Por qué? Básicamente, ISO/IEC 38500 es puramente acerca de gobierno de TI – todo el resto está enfocado en las disciplinas de gestión que deben funcionar bien para que TI pueda ser eficiente, efectiva y aceptada.

La mayor razón por la que vemos que ISO/IEC 38500 está siendo comparada con los marcos de trabajo y estándares, es que continúa existiendo un considerable bache de entendimiento común acerca de la diferencia, y relacionamiento, entre gobierno y gestión.

Así, este documento propone un marco inicial para entender los conceptos de, una distinción entre las disciplinas de gobierno y gestión de TI, que es similar en naturaleza al gobierno y gestión de otros tipos de activos acerca de los cuáles, el cuerpo de gobierno de la organización estará normalmente preocupado.

Gobierno Corporativo de TI es el sistema por el cual se dirige y supervisa el estado actual y futuro del uso de TI (ISO/IEC 38500). El gobierno de TI trata principalmente con los planes para utilizar TI (en ambos contextos; estratégico y operacional), las iniciativas que crean sus usos futuros y, las actividades operacionales que constituyen su utilización actual.

El modelo de gobierno de TI presentado en ISO/IEC 38500 posiciona tres tareas claves de gobierno – evaluar, dirigir, controlar, como la clave para dar dirección hacia y, controlar el desempeñó de los roles de gestión en la conducción de la organización para la planificación, implementación y utilización operacional de TI.

Modelo de Gobierno IT ISO/IEC 38500

ISO/IEC 38500 en el ciclo de gestión de negocios

La afirmación clave de este documento es que, el sistema para el gobierno de TI supervisa, controla y recibe información, desde un conjunto de sistemas de gestión interconectados y configurados de manera única para responder a las necesidades de la organización. El sistema de gestión implementa la autoridad delegada del cuerpo de gobierno a través de políticas bien diseñadas, procesos, asignación de roles y herramientas de soporte, que proveen un control efectivo e integrado sobre la visibilidad y utilización de TI en la organización. En efecto, el sistema de gestión provee la “maquinaria de gobierno”, en que ellos son controlados por, y le da efecto a las políticas determinadas por el acuerdo de gobierno, y provee la visibilidad necesaria para permitir al cuerpo de gobierno llevar a cabo sus obligaciones en la supervisión del desempeño y conformidad respecto de la utilización por la organización de TI.

La definición precisa de los puntos de compromiso es un poco variable, dependiendo de la naturaleza de la organización, pero en general, el propósito de estos puntos de compromiso son para la obtención de dirección desde el cuerpo de gobierno (tales como dirección completa de la empresa, comportamiento y política), la sumisión de temas para aprobación del cuerpo de gobierno (o a todos aquellos que actúan en su nombre por la delegación de autoridad), y la provisión de retroalimentación y evidencia al cuerpo de gobierno tal cual es requerido por las reglas corporativas.

Para entender la naturaleza de un sistema comprehensivo de gobierno de TI, se requiere un progresivo desmenuzamiento del sistema de gestión al cuál la ISO/IEC 38500 está vinculado.

estratégico en dos niveles – establecer la visión a la que aspira la organización y, definir como se logrará esa visión.

• Planificación – para priorizar y alocar los recursos para entregar y operar los sistemas del negocio posibilitados por TI tal cual lo requiere la estrategia de la organización

• Implementación – despliegue y gestión de los recursos alocados para entregar el nuevo sistema de negocio requerido por la estrategia de la organización

• Operación – conducción de las actividades de negocio posibilitadas por TI para realizar los objetivos estratégicos y operacionales de la organización.

ISO/IEC 38500 Sistemas de Gestión Primarios

No es esencial que estos 4 sistemas de gestión primarios sean pensados como estando solamente enfocados en TI. Es más, a medida que TI es generalizada a través de la mayoría de las organizaciones, es probable que tomando la perspectiva estrecha de solo TI, podría llevar a una mala gestión – porque TI es solamente un posibilitador de la foto mayor y nunca un fin, o una solución en sí misma. Un acercamiento más efectivo es reconocer que TI está intrínseca en estos sistemas de gestión y, en ese nivel, no tiene un foco independiente.

Para muchas organizaciones, la extensión, complejidad y el riesgo asociado con el uso de TI como un posibilitador de negocios, requiere que estos 4 sistemas de gestión primarios deban ser descompuestos en un conjunto de disciplinas principales. Mientras puede haber muchas maneras de descomponer el sistema de gestión en unidades más discretas, ha habido una buena parte de coherencia en la identificación de los sistemas de gestión de nivel superior. John Thorp, autor de “The Information Paradox” provee un modelo adecuado que identifica 7 disciplinas:

1. Estrategia

2. Arquitectura Empresaria 3. Cartera

Además, podemos envolver efectivamente el modelo de Throp con la disciplina esencial de estos días de Seguridad de la Información, la cual no está más confinada a las cuestiones de operación, pero que necesariamente debe ser considerada en todas las disciplinas del modelo Thorp.

El Modelo Thorp Extendido

Mientras el modelo de Thorp se construyó en el contexto de una mejor gestión del uso de TI en las organizaciones, no está limitado por ninguna razón al contexto de TI, y es más no puede ser aislado solo a TI. Hacer esto, podría resultar en negar la realidad que TI es un posibilitador de los sistemas del negocio, que también incluye personas, procesos y estructura, como definió Harold Leavitt en 1965.

El desafío significante en muchas organizaciones que buscan un gobierno de TI mejorado es organizar estas disciplinas de manera tal que ellas participen adecuadamente en los 4 elementos claves del sistema empresarial, en lugar de, tratar TI como un concepto independiente. En este contexto, el papel de la arquitectura empresaria es relevante – como así también – desarrollar una capacidad arquitectónica de la empresa deberá abordar el diseño de la organización total, y específicamente tratar con las 4 dimensiones claves del sistema empresarial.

Con el modelo extendido de Thorp, si se requiere, es posible descomponer estas 8 disciplinas primarias en prácticas claves. La identificación de las prácticas claves es una tarea que requerirá esfuerzo para descubrir modelos disponibles y juntarlos con las disciplinas, reconociendo también que podría haber prácticas claves adicionales que no están definidas dentro de los modelos de prácticas disponibles. Sin embargo, para el propósito de la ilustración, el estándar ISO/IEC 20000 define claramente las prácticas de gestión de Configuración y Gestión de Incidentes.

En este estado, no es necesario que descompongamos el sistema de gestión. Mejor dicho, podemos esperar que las 8 disciplinas primarias identificadas acá, puedan ser descompuestas de manera fiable y que, haya acuerdos listos en los modelos descompuestos. Lo que ahora es importante, es comprender como las disciplinas y las prácticas claves dentro de ellas encajan con el sistema completo de gobierno de IT.

En realidad, el compromiso del cuerpo de gobierno con el sistema de gestión será un tema de determinación en una base de caso por caso para cada organización. Sin embargo, habrá características comunes en la participación y, estas son apuntadas por ISO/IEC 38500. Debería ser bastante claro que la participación del cuerpo de gobierno es por medio del establecimiento de políticas de nivel superior incluyendo, las delegaciones de autoridad (muchas veces desarrolladas en conjunto con la gestión), la participación en el desarrollo de, y aprobación de la estrategia, aprobación de los gastos mayores, y el monitoreo de conformidad y desempeño con respecto a las actividades de las inversión operacionales. Mientras que el cuerpo de gobierno puede no comprometerse directamente con cada disciplina, y ciertamente no lo hará con las prácticas claves, es con todo importante que el diseño del sistema provea un nivel de integración que, asegure la transmisión adecuada de las políticas del cuerpo de gobierno y otros requerimientos a través del sistema, y también provea los niveles apropiados de visibilidad y transparencia.

Encuentro Gobierno – Gestión

Así, ahora podemos visualizar una versión evolucionada del modelo de ISO/IEC 38500 para el gobierno, donde los tres pasos principales en el ciclo de gestión son reemplazados por las 8 disciplinas primarias claves, alineadas sobre los 4 primeros sistemas de gestión. En este camino, podemos ahora comenzar a desarrollar un mejor entendimiento de cómo se relacionan las tareas y roles de gobierno y gestión, y como son distintas e interdependientes. Se puede decir razonablemente que, el sistema de gestión o las disciplinas dentro de ese sistema tienen un punto, o puntos de encuentro con el sistema de gobierno. Estos puntos de encuentro son:

• Preparación, adopción, comunicación y refuerzo de la política relevante para el sistema de gestión.

• Delegación de autoridad y escalada a niveles superiores de autoridad cómo y cuándo es requerido.

• Provisión de informes formales con respecto a la conformidad y desempeño, para cumplir las necesidades de la supervisión eficiente y diligente por el cuerpo de gobierno y cualquier cuerpo intermedio que puede actuar por la delegación de autoridad.

El diseño detallado de estos puntos de encuentro son, de nuevo, una cuestión de diseño basado en caso por caso por la organización, tomando en cuenta el diseño completo de sus sistema de gobierno de IT y las autoridades delegadas que deben aplicarlo.

Estas ideas presentadas aquí son un principio, no un fin. Ellas serán un tema de debate, esperemos que en diversos foros, e involucrando personas desde todos los conocimientos, incluyendo líderes de corporaciones y gobierno, académicos y especialistas de IT.

IT, y las organizaciones que dependen de ella, puedan por lo menos tener una conversación clara y sin confusiones acerca de la gestión y el gobierno de IT.

Regulaciones (Nacionales e Internacionales), estándares y

mejores prácticas asociadas (CobiT, ITIL, COSO, ISO)

Costarricenses indefensos ante el delito informático

Por Ana Madrigal

© Informa-tico.com < http://www.informa-tico.com/php/expat.php?id=01-08-0502408&ed=61&fecha=01-08-05&foro=180> La ingenuidad del costarricense, la poca información que maneja con relación al refinamiento y propagación de los delitos informáticos y la escasa legislación en torno al tema, colocan a nuestros ciudadanos en inminente riesgo de convertirse en víctimas de las múltiples modalidades del crimen informático.

Ciertamente, el desarrollo tecnológico permitió la proliferación de las computadoras personales y la expansión del Internet, pero de la mano de estos avances llegó una amenaza generalizada de lo que se ha dado en llamar delincuencia informática, delitos de cuello blanco, ciberdelincuencia y hasta robo del Siglo XXI.

Según el español Miguel Davara, experto en el tema, el delito informático es la realización de una acción con las mismas características de un delito, pero que se lleva a cabo utilizando un elemento informático y/o telemático, o vulnerando los derechos del titular de un elemento informativo, ya sea hardware o software. Es decir, en muchos casos se trata de delitos tradicionales llevados a cabo con las nuevas tecnologías.

Películas y una buena cantidad de informaciones que aparecen cada vez con más frecuencia en los medios de comunicación alertan sobre las acciones de los llamados piratas informáticos, "hackers" y "crackers", quienes burlando sistemas de seguridad, logran introducirse en los archivos de los bancos y hasta de los cuerpos policiales y de seguridad nacional más famosos del mundo, entre ellos el FBI, la DEA y del mismísimo Pentágono; invaden la privacidad, roban o afectan valiosa información, cometen fraudes, manipulan los mercados financieros y utilizan la red para transmitir virus de computadoras.

Costa Rica, por supuesto, no está exenta de este fenómeno y ante el nuevo panorama, el experto en Derecho Informático y profesor de la Universidad de Costa Rica, Christian Hess, aseguró que el país requiere de una importante actualización legislativa en materia de delincuencia informática. Los avances experimentados, no han

aprovechado las investigaciones y experiencia de otros

ordenamientos que llevan la delantera en este terreno, indicó.

"El desarrollo positivo nacional en materia de cibercriminalidad es escaso y reciente, como probablemente sea la tónica en la mayoría de los países latinoamericanos y, en vez de Aunque en los últimos años

establecer regulaciones de carácter general, se ha optado por realizar enmiendas a leyes especiales que, a la postre, han conducido a situaciones de notoria inconsistencia normativa", aseguró Hess.

Por su parte, la doctora Alejandra Castro, experta en Derecho Informático y directora de la Maestría en Propiedad Intelectual de la UNED, sostiene que uno de los aspectos más preocupantes en torno al proceso de definición y tipificación de estos delitos fue la inexistencia de una política criminal y técnica.

"Yo me atrevo a asegurar esto porque estudié en su momento el proyecto de ley y dada la escasez de debate sobre las necesidades nacionales para la tipificación de los delitos informáticos, su inclusión en Costa Rica fue el resultado de una moda, pues en los 90s se empezó a regular en Latinoamérica algo que para Europa o Japón ya era una realidad a fines de los 70. Esa aprobación apresurada y sin sistematización de las acciones delictivas en diversos cuerpos normativos en efecto respondió a una tendencia regional, pero al fin y al cabo necesaria".

Según ella, tampoco existió claridad, a nivel de gobierno, sobre cuáles delitos debían tipificarse penalmente para encarar el fenómeno, ni sobre cuáles conflictos existían y necesitaban solución y por lo tanto los proyectos de ley se aprobaron, como consecuencia de la aprobación sucesiva de leyes similares en otros países, lo que llevó a Costa Rica a sumarse a esa tendencia".

Por ejemplo, explicó, en relación con la protección a la intimidad, ahora se está hablando de la necesidad de interponer un recurso de habeas data, ante la Sala IV, que es el recurso procesal por medio del cual se defiende la protección de los datos personales. Costa Rica no tiene ese recurso y la Sala Constitucional ha venido solventando esa carencia a través de los recursos de amparo y ha tutelado el derecho específico de la protección de la intimidad por medio de las herramientas y leyes que ya existían. Esto, de algún modo, dijo, resta seguridad y claridad a los jueces pero el derecho a pesar de ello logra su tutela.

Lo cierto del caso es que el riesgo de que cualquier costarricense sea presa fácil de este tipo de delincuencia va a ser cada vez mayor, en razón de que todos los días surgen métodos de delinquir más refinados y tecnologías más sofisticadas para acceder a las bases de datos y a las computadoras personales, en claro contraste con la lentitud y la dispersión con el que avanza el derecho informático.

Es decir, mientras las tecnologías que sirven de apoyo a los delitos informáticos avanzan impulsadas por turbo, las soluciones legales cojean.

Alerta roja

Sin embargo, alertó que se está poniendo de moda lo que en Estados Unidos se conoce como "phishing", que consiste en "ordeñarle" todos los datos financieros y personales a las víctimas a través de un correo electrónico fraudulento para luego timarlos.

Veamos cómo opera esto en la realidad. Resulta que a cualquier persona le llega un "mail" con características iguales o muy similares a las de su entidad bancaria, solicitándole actualizar sus datos debido a que el banco desea ofrecerles a todos sus clientes nuevos servicios. De seguido se le pide al usuario o al cliente que haga clik en algún lugar para proceder a verificar sus datos financieros. El usuario se encuentra entonces ante una página web casi idéntica a la de su banco y sin mayor vacilación escribe el número de su cédula, de su tarjeta de crédito y otros datos personales que le están pidiendo actualizar.

¡Cuidado! Por supuesto se trata de un correo fraudulento a través del cual el ciberdelincuente obtiene los datos esenciales para poder ingresar a la cuenta de su presa y sustraerle todos los fondos. En esta nueva modalidad no hay que sortear ningún sistema de seguridad, ya que el mismo usuario está brindándole sus datos al delincuente, le está dando luz verde para que lo estafe.

Legislación de parches y a pasito lento

Según los expertos, Costa Rica requiere de una inmediata actualización y centralización de la legislación en materia de derecho informático. Tampoco es mucho lo que existe al respecto.

El Código Penal tipifica actualmente tres delitos informáticos: la violación de comunicaciones electrónicas, el fraude informático y la alteración de datos y sabotaje informático. Este es el resultado de la primera acción que se dio para legislar en esta materia, en octubre del 2001, a través de la reforma al Código Penal que introdujo este delito.

Pero también existen algunas regulaciones a través de tres leyes especiales: la ley General de Aduanas, el Código de normas y procedimientos tributarios y la ley de observancia a los derechos de propiedad intelectual.

Según Hess, en fechas más recientes la diputada María Elena Núñez suscribió un proyecto de ley que contempla mejoras sustanciales en torno al derecho informático.

"Realmente es muy bueno, muy completo, pero no ha recibido trámite especial. Yo sinceramente esperaría que el proyecto de María Elena se incorpore el proyecto de Reforma Integral al Código Penal que también está en la Asamblea Legislativa, para dejar de estar promulgando leyes sueltas sobre el tema. Lo ideal es darle un tratamiento centralizado, es decir, que haya un capítulo aparte, sobre derecho informático, dentro del Código Penal para dejar atrás la moda de legislar a través de parches", opinó.

Delito virtual, prueba virtual... !qué difícil!

que contemple soluciones generales para que sean entonces los tribunales a los que les corresponda irlas adaptando a la realidad nacional.

Es ahí, precisamente, donde viene a jugar un papel importantísimo la jurisprudencia, es decir, todos los fallos reiterados de los juzgados en una materia particular, pero en este momento no existe en Costa Rica ni un solo fallo reiterado en derecho informático, lo que hay son sentencias aisladas, señaló. Por otro lado, dijo, nada se gana con capacitar a los estudiantes y a los abogados en esta materia, si no se capacita a la policía, a la fiscalía y a los jueces.

La investigación policial en este tipo de delitos es sumamente difícil, primero porque se topan con el anonimato del delincuente y, segundo, porque la prueba es virtual, lo que obliga a considerar las posibilidades que tienen las tecnologías de falsificar o eliminar la prueba. Para nadie es un secreto lo fácil que resulta eliminar el disco duro de una computadora antes de que lo lleguen a decomisar.

"Pongamos el ejemplo de un delito de pornografía infantil realizado desde un café internet. Bueno, ¿cómo detecto yo que el delito se produjo desde o en ese lugar?, pues porque cada aparato, cada computadora tiene algo así como una cédula de identidad que se conoce como la dirección IP. Esto es lo que me permite identificar físicamente a esa computadora, pero si la computadora está en un café Internet donde en general no se llevan registros sobre quienes están usando las máquinas, pues evidentemente hay una evasión absoluta del delito porque no se puede responsabilizar al titular del café el manejo total de todos los accesos que tienen sus usuarios en las máquinas. Como ve, la prueba aquí vuelve a ser una cuestión muy importante", señaló la especialista.

Hay otros factores que dificultan este tipo de investigaciones, como la territorialidad, y el anonimato del delincuente.

"Imagínese que se puede estar cometiendo un delito informático en muchos países de manera simultánea. Claro, yo puedo estar en Costa Rica y a través de un servidor que está en la India cometer un delito que afecta derechos de alguien que está en Holanda, con complicidad de varias personas que están en Brasil. Entonces, ¿cuál es la jurisdicción? Bueno, todavía no hay un acuerdo de partes, generalmente le corresponde a la jurisdicción del lugar en donde está el ofendido, pero aquí aplica también otro principio, non bis idem, que determina que si hay varios ofendidos, no se le puede castigar a un delincuente dos ni tres veces por el mismo delito.

Ese principio se aplicó en Holanda en un caso de pornografía infantilen el que se pretendía seguirle al delincuente varios procesos judiciales en distintos países por el mismo delito, pero él se defendió alegando este principio, con el cual al final fue juzgado en Holanda siguiendo las normas de este país.

Rezago

tecnologías, empezando con lo relacionado a la protección de los datos personales a través de las redes de información, el fraude informático y la violación de las comunicaciones electrónicas.

Una década después, este tipo de normativas ya se habían consolidado en muchos de los países desarrollados; en Hispanoamérica en cambio, la prioridad era superar la gran brecha digital entre países ricos y pobres.

Por esta razón Costa Rica se demora 20 años para comenzar a desarrollar legislaciones orientadas a proteger los datos personales, la intimidad, y a regular todo lo concerniente al uso de las herramientas tecnológicas, a la firma digital y a los delitos informáticos.

Claro, hay otros países más atrasados en estos avatares. Incluso aquellos catalogados como menos desarrollados en la Organización Mundial del Comercio, OMC, los cuales ni siquiera tienen proyectos de ley para proteger a sus poblaciones contra los delitos informáticos, pues se encuentran todavía ocupados en resolver trabas tan importantes como de conexión a la red, acceso al hardware, al software, al conocimiento tecnológico.

"Pareciera poco útil enfrascarse en discusiones sobre nueva legislación si la población ni siquiera tiene computadora y si la tuviera no sabría cómo usarla", aseguró Castro.

Responsabilidad de todos

Según el experto Christian Hess, el buscarle soluciones a los delitos informáticos no debe ser una tarea exclusiva de la Asamblea Legislativa, sino una responsabilidad de todos.

Nada se gana, dijo, con más dispositivos de seguridad tecnológica y con más legislación, si no educamos al consumidor para que se despoje de su ingenuidad. "Yo diría que en estos momentos el consumidor requiere de mucha educación, de mucha información. Esa tarea debería comenzar desde que los muchachos están en el colegio, y por lo tanto ahí le correspondería al Ministerio de Educación jugar un papel clave.

Por otro lado, las entidades financieras también tienen mucha responsabilidad en este particular, la misma SUGEF y hasta la Comisión Nacional del Consumidor".

Algunos delitos informáticos: Fraudes a la industria y al comercio

Violaciones a los entes públicos como bancos Evasiones al fisco

Vaciamiento de fondos y transferencias electrónicas a cuentas personales Apropiación de información ajena

Violación a secretos de Estado,

Pornografía infantil

Fraude a tarjetas de crédito. El hacking es el delito informático clásico, se trata del acceso no autorizado a sistemas informáticos ajenos utilizando redes públicas de telefonía o transmisión de datos, burlando las medidas de seguridad con fines de espionaje informático: descubrir secretos o datos reservados de otros. También con fines de espionaje industrial: apoderarse de secretos de empresa, lo que ya de por sí genera un gran daño económico. También con fines de espionaje político, terrorista, obtención de lucro personal por violación de intimidad.

Engaños en subastas en internet: adquiero un bien que nunca se me entrega, productos milagrosos, cobros de accesos a internet a dominios que nunca sirven, ofertas de teletrabajo. El cracking se hace destrucción en el sistema informático, elimina o altera información, destruye el disco duro. Phreaking o defraudación de fluidos. Por ejemplo defraudación de llamadas internacionales con conexiones piratas. Defraudación de energía eléctrica, agua, gas, señal de televisión, entre otros, valiéndose de mecanismos instalados, alteración de contadores y usando otros medios clandestinos. Phishing: sustracción de datos personales y financieros a través de un correo electrónico para luego timar a la víctima sustrayéndole todos sus fondos.

Perfil psicológico y sociológico:

La mayoría de piratas son autodidactas, anhelan poder y riqueza pero prefieren ser respetados por haber evadido más medidas de seguridad que por las sumas de dinero obtenidas en el delito; tienen un dominio total de las herramientas tecnológicas, con conocimiento especializado, obtenido a través de la academia o la experiencia. No provienen, en general, de zonas marginales. Es el delincuente que tiene alguna solvencia económica que le permite acceder a elevados conocimientos tecnológicos y adquirir esa tecnología.

Val IT 2.0 – Valor Empresario: Gobierno de las

Inversiones en TI

Es sabido que las organizaciones hoy en día, no podrían llevar a cabo sus operaciones, ni tomar las oportunas decisiones estratégicas o tácticas, sin una adecuada infraestructura de TI. Esto conlleva a continuar realizando significativas inversiones en Tecnologías de la Información.

inversiones podrían tanto crear como destruir valor sin un adecuado marco de gobierno efectivo.

Este valor de negocio se genera por la forma en que las organizaciones utilizan TI, más que por las tecnologías o sistemas en sí mismos, lo que implica una mayor complejidad y riesgo; máxime teniendo en cuenta que el valor no es un concepto simple y su naturaleza varía según la organización.

A pesar de esta dificultad herramientas, como por ejemplo el retorno de la inversión, se están convirtiendo en indicadores esenciales e indispensables para el gobierno de las TI. Asimismo, estos indicadores deben ser ajustados por una tasa de riesgo.

Ante esta problemática, el IT Governance Institute(ITGI) ha creado Val IT – Enterprise

Value: Governance of IT Investments, que

ofrece buenas prácticas y guías generalmente aceptadas para ayudar a directores y ejecutivos a alcanzar la máxima rentabilidad de las inversiones en TI.

Val IT ayuda a las organizaciones a:

• Incrementar la comprensión y transparencia de los costos, riesgos y beneficios, dando lugar a una gestión mucho mejor informada.

• Incrementar la probabilidad de seleccionar las inversiones que tienen potencial de generar un mayor retorno.

• Incrementar la probabilidad de éxito al ejecutar las inversiones.

• Reducir el costo por no hacer cosas que deben ser realizadas, y tomar acciones correctivas al respecto.

• Reducir el riesgo de falla y “sorpresas” en los costos y las entregas.

Introducción a Val IT

El objetivo del Val IT es ayudar a asegurar que las organizaciones consigan valor de las inversiones en TI, con un costo adecuado y un aceptable nivel de riesgo. Esta propuesta del ITGI proporciona guías, procesos y prácticas de soporte para ayudar a la dirección a comprender y llevar a cabo las inversiones en TI.

• Val IT soporta los objetivos de negocio logrando un valor óptimo en las inversiones en TI, dentro de un costo adecuado y con un aceptable nivel de riesgo.

• Guiado por un conjunto de principios aplicados en el proceso de gestión del valor.

• Que son posibles por las prácticas clave de control con referencias a COBIT que son medidas por métricas de desempeño y resultado.

El Marco Val IT

Existen un conjunto de términos que se emplean dentro del marco del Val IT que definiremos antes de continuar:

• Valor. Resultado final del negocio después de una inversión en TI, donde el resultado pueden ser financiero, no financiero o una combinación de ambos.

• Cartera. Una agrupación de programas, proyectos, servicios o recursos seleccionados para optimizar el retorno de negocio.

• Programa. Un grupo estructurado de proyectos interdependientes que son necesarios y suficientes para lograr resultado comercial y entregar valor. Estos proyectos incluyen: cambios en la naturaleza del negocio, procesos comerciales, el trabajo realizado por las personas, así como las competencias requeridas para llevar a cabo el trabajo, habilitando tecnología y estructura organizacional. El programa de inversión es la unidad primaria de inversión dentro de Val IT.

• Proyecto. Un conjunto estructurado de actividades relacionadas para entregar a la empresa una capacidad definida (eso es necesario pero NO suficiente para lograr un resultado comercial requerido) basada en un plan acordado y presupuestado.

Val IT apoya el objetivo de negocio de realizar inversiones óptimas en TI y para ello se guía por un conjunto de principios:

• Las inversiones en TI serán gestionadas como una cartera de inversiones.

• Las inversiones en TI incluirán el alcance global necesario para lograr valor de negocio.

• Las inversiones en TI serán gestionadas a lo largo de un ciclo de vida económico.

• Las prácticas para la entrega de valor definirán y supervisarán métricas clave y responderán rápidamente a cualquier cambio o desviación.

• Las prácticas para la entrega de valor comprometerán a todos los stakeholders y asignarán la responsabilidad apropiada para la entrega de las capacidades y la realización de beneficios para el negocio.

• Se supervisarán las prácticas para la entrega de valor continuamente, evaluándolas y mejorándolas.

Procesos y Prácticas de Gestión

Las prácticas de gestión son características de los procesos con éxito. Cada empresa necesita considerar sus propias políticas, tolerancia al riesgo y el entorno antes de seleccionar las prácticas de gestión que mejor se aplican a la empresa. Las prácticas de gestión clave vienen proporcionadas por los siguientes tres procesos:

1. Gobierno de Valor (VG, Value Governance), formado por 11 prácticas de gestión que comprenden:

§ Establecer el gobierno, seguimiento y control.

§ Proporcionar dirección estratégica a las inversiones.

§ Definir las características de la cartera de inversiones.

2. Gestión de Cartera (PM, Portfolio Management), formado por 14 prácticas de dirección que engloban:

§ Identificar y mantener los perfiles de los recursos.

§ Definir los márgenes de la inversión.

§ Evaluar, priorizar y seleccionar, aplazar o rechazar las inversiones.

§ Dirigir la cartera global.

§ Monitorear e informar el desarrollo de la cartera.

3. Gestión de Inversión (IM, Investment Management), formado por 15 prácticas de dirección que cubren:

§ Identificar los requisitos de negocio.

§ Desarrollar una clara comprensión de los programas de inversión candidatos.

§ Analizar las alternativas.

§ Definir y documentar un caso de negocio detallado, incluyendo el detalle de los beneficios.

§ Asignar claramente las responsabilidades.

§ Gestionar el programa a través de su ciclo de vida económico completo.

El conjunto total de prácticas se muestra a continuación:

Tabla 1. Prácticas de VAL IT

Gobierno del Valor (VG) Gestión de Cartera (PM) Gestión de la Inversión (IM)

VG1 Asegurar un liderazgo informado y de confianza

PM1 Mantener un inventario de recursos humanos

IM1 Desarrollar una definición

de alto nivel sobre la

oportunidad de la inversión

VG2 Procesos implementados y

definidos PM2 Identificar los requisitos de los recursos IM2 Desarrollar un caso de negocio inicial

VG3 Roles y responsabilidades

definidas PM3 Ejecutar un análisis de la desviación

IM3 Desarrollar una clara comprensión de los programas candidatos

VG4 Asegurar una contabilidad

apropiada y aceptada PM4 Desarrollar un plan de recursos IM4 Ejecutar un análisis de alternativas

VG5 Requisitos de información definidos

PM5 Monitorear la utilización de recursos y su utilización

IM5 Desarrollar un plan de programa

VG6 Requisitos de información

establecidos PM6 Definir el umbral de inversión IM6 Desarrollar un plan de realización de beneficios

VG7Estructuras

organizacionales establecidas PM7 Evaluar el caso de negocio IM7 Identificar el ciclo de vida de los costos y beneficios

VG8 Dirección estratégica

establecida

PM8 Evaluar y asignar

puntuación relativa al

programa del caso de negocio

IM8 Desarrollar un programa detallado del caso de negocio

VG9 Categorías de inversión

establecidas PM9 Crear una visión global de la cartera de inversión IM9 detallada y responsable Asignar contabilidad

VG10 Determinar la cartera de inversión objetivo

PM10 Realizar y comunicar la decisión de la inversión

IM10 Iniciar, planificar y lanzar el programa

VG11 Definir los criterios de

evaluación por categoría PM11 Lanzar y sub-dividir programas seleccionados IM11 Gestionar el programa

PM12 Ejecución organizada de

la cartera de inversión IM12 Gestionar y seguir los beneficios

PM13 Re-priorizar la cartera de

inversión IM13 Modificar el caso de negocio

PM14 Monitorear e informar de la ejecución de la cartera de inversión

IM15 Monitorear e informar

sobre la ejecución del

Gobierno del Valor (VG) Gestión de Cartera (PM) Gestión de la Inversión (IM)

IM16 Retirar el programa

Si bien las prácticas de dirección se presentan de manera secuencial, esto no implica una aproximación “en cascada”, de alguna manera existe una secuencia lógica entre prácticas, y otras deberían ser llevadas a cabo en paralelo. Empezando desde el mayor nivel de abstracción, se podría decir que:

• El gobierno del valor establece el marco global de gobierno, la dirección estratégica, las características deseadas de la cartera de inversión, así como recursos y restricciones en las que la cartera de inversión debe ejecutarse.

• La dirección de inversiones define el programa potencial, basándose en los requerimientos del negocio, determinando si merecen ser considerados y enviando los programas de inversión candidatos para su evaluación, en base a su alineación con los objetivos estratégicos, el valor comercial, financiero y no financiero, y el riesgo tanto en la consecución como en los beneficios.

• La dirección de la cartera de inversión evalúa y prioriza programas, dentro de los recursos y las restricciones, y enviando los programas seleccionados a la cartera activa para su ejecución.

• La dirección de inversiones lanza y gestiona la ejecución de los programas activos e informa sobre el desarrollo a la dirección de la cartera de inversión.

• La dirección de la cartera de inversión monitorea el funcionamiento del todo, ajustándola cuando sea necesario, en respuesta a cómo se esté ejecutando el programa o a cambios en las prioridades del negocio.

• La dirección del programa retira los programas cuando hay acuerdo en que el valor deseado ha sido obtenido.

El Caso de Negocio

Un caso de negocio es una propuesta estructurada de negocio, que se justifica en términos de costo – beneficio y que debe ser un prerrequisito a la hora de iniciar un proyecto. ITGI destaca que el caso de negocio es una de las herramientas más valiosas a la hora de guiar la generación de valor, y que la experiencia ha demostrado que la calidad del caso de negocio, los procesos implicados en su creación y su uso a través del ciclo de vida económico de una inversión tienen un impacto enorme en la creación de valor.

• ¿Estamos haciendo lo correcto? Que se propone, para que beneficios de negocio y como contribuyen los proyectos dentro de los programas.

• ¿Lo estamos haciendo correctamente? Como se realizará y que se está haciendo para asegurarnos que encajará con actuales y futuras capacidades.

• ¿Lo estamos logrando bien? Cuál es el plan de trabajo y qué recursos y fondos son necesarios.

• ¿Estamos obteniendo los beneficios? Cuál es el valor del programa y como se entregaran y realizaran los beneficios.

El desarrollo del caso de negocio debería ser liderado por el patrocinador del mismo y debe implicar a todos los involucrados, desarrollando y documentando los resultados previstos del negocio. Se debe describir cómo se medirán los resultados del negocio y el alcance completo de las iniciativas requeridas para alcanzar los resultados previstos, incluyendo cualquier cambio requerido en la naturaleza del negocio de la empresa, en el proceso de negocio, en las habilidades y competencias de las personas, en la tecnología y la estructura organizacional. El caso de negocio debe también identificar indicadores para monitorear la validez de cada supuesto, los riesgos clave, la terminación exitosa y el logro de los resultados esperados, junto con las acciones de mitigación.

La decisión de si proceder con una inversión se realiza primero a nivel de programa individual y por el patrocinador de la misma, quien determina si el caso de negocio es suficientemente sólido para ser evaluado a nivel de la cartera de inversión, donde se evalúa el valor relativo del programa frente a otros programas activos y candidatos. Para facilitar este proceso debe haber un sistema normalizado, incluyendo beneficios financieros y no financieros, y los riesgos para casos individuales de negocio.

Estructura del caso de negocio

Un caso de negocio para una inversión en TI considera las siguientes relaciones de causalidad:

Son Necesarios para desarrollar

Un servicio de tecnología de TI que dará soporte a,

Una capacidad de operación que permitirá,

Generar una capacidad de negocio que creará

Valor, que se estará representado por un resultado financiero ajustado por una tasa de riesgo o por el

Componentes del caso de negocio

• Cada uno de los flujos de actividad tiene un número de componentes esenciales para evaluar el caso de negocio por completo. Estos componentes juntos forman la base para un modelo analítico, que se define de la siguiente manera:

• Resultados, que se buscan de manera clara y medible, incluyendo resultados intermedios (que son necesarios pero no suficientes para alcanzar el beneficio final) y los resultados finales (los beneficios finales del negocio que deben ser realizados). Estos beneficios pueden ser financieros o no financieros.

• Iniciativas, procesos de negocio, gente, tecnologías y acciones/proyectos organizacionales que contribuyan a uno o más resultados.

• Contribuciones, medibles y esperadas desde iniciativas o resultados intermedios de otras iniciativas o resultados.

• Supuestos: Hipótesis respecto a las condiciones necesarias para la realización de los resultados o iniciativas, pero sobre las cuales la organización del programa tiene poco o ningún control. La evaluación del riesgo, representada por supuestos y restricciones respecto a costes, beneficios y alineación, es la parte principal del proceso del caso de negocio.

Otros componentes que se identifican en el caso de negocio son los recursos requeridos para el desarrollo de todas las actividades, así como los gastos de adquisición y, si es necesario, mantenimiento de los recursos.

Desarrollo del caso de negocio

Val IT propone desarrollar el caso de negocio en ocho pasos:

• Paso 1. La construcción de una hoja de hechos con todos los datos.

• Paso 2. Análisis de alineamiento estratégico.

• Paso 3. Análisis de beneficios financieros.

• Paso 4. Análisis de beneficios no financieros.

• Paso 5. Análisis de riesgo.

• Paso 6. Valoración y optimización del riesgo/retorno de la inversión en TI.

• Paso 7. Registro estructurado de los resultados de los pasos previos y documentación del caso de negocio.

• Paso 8. Revisión del caso de negocio durante la ejecución del programa, incluyendo el ciclo de vida completo de los resultados del programa.

El liderazgo del proceso de reconocimiento varía de empresa a empresa y en su determinación, se debe reconocer que el tema de la obtención de valor de las inversiones posibilitadas por IT no es un tema de tecnología, sino que es un tema de negocios.

Sin importar de donde viene el liderazgo necesario para este proceso, generalmente la incorporación de estas prácticas genera un cambio organizacional que necesita del involucramiento y soporte de la gerencia general y ejecutiva.

El primer paso para reconocer donde estamos en el proceso, es la detección de los puntos de dolor, los eventos externos disparadores y otros síntomas que indican la necesidad de reconocer la entrega de valor. Esta actividad de reconocimiento nos indicará el grado de madurez de la organización en este tema y a partir de allí se podrá realizar un análisis de “gaps” entre el estado actual y el deseado y se podrá construir un plan de acción con los cambios necesarios.

Val IT define los seis estados en los cuáles puede estar una organización en el proceso de reconocimiento de la entrega de valor por las inversiones posibilitadas por IT.

Referencias

The Val IT Framework. IT Governance Institute. Val IT – Enterprise Value: Governance of IT Investments, ITGI 2006

The Four Ares’s – John Thorp – The Information Paradox

Gestión de tecnologías de información

Teoría de Riesgos

En la economía global, las organizaciones necesitan tomar riesgos para sobrevivir – la mayoría de ellas necesitan incrementar el nivel de riesgos que toman para ser exitosas a largo plazo. Con el significativo incremento en la competencia, los objetivos y metas agresivos de las corporaciones se están convirtiendo en norma. Para direccionar este cambio, los líderes mundiales están fortaleciendo sustancialmente sus prácticas de administración de riesgos para asegurar que si las iniciativas o el funcionamiento de las unidades de negocio “se descarrilan”, esto se identifique rápidamente para poder actuar para corregir la situación.

Riesgos

El estudio y manejo de los riesgos no es un tema nuevo, de una u otra forma, las organizaciones han venido desarrollando acciones tendientes a darle un manejo adecuado a los riesgos, con el fin de lograr de la manera más eficiente el cumplimiento de sus objetivos y estar preparados para enfrentar cualquier contingencia que se puede presentar.

Qué es el Riesgo?

Concepto utilizado por los auditores y los gerentes para expresar sus preocupaciones sobre los efectos que un ambiente incierto podría provocar.

Qué es una Consecuencia?

Resultados tangibles (nivel de impacto) del riesgo sobre las decisiones, eventos o procesos de negocios. Debido a que el futuro no se puede predecir con certeza, los auditores y los gerentes tienen que considerar una gama de posibles sucesos que puedan ocurrir. Cada uno de estos sucesos podría tener un efecto material (una consecuencia significativa) sobre la empresa y sus metas. A las consecuencias negativas se les llaman “riesgos” y a las positivas, se les llama “oportunidades”.

Las consecuencias pueden variar en severidad, dependiendo de:

• El establecimiento de Riesgos (la exposición)

• El tipo de amenaza

• La duración de la consecuencia

• La efectividad de los controles establecidos

Qué es Exposición?

Es la susceptibilidad hacia una pérdida, o una percepción de una amenaza sobre un proceso, usualmente cuantificado en términos monetarios.

Qué es una Amenaza?

Es una combinación del riesgo, la consecuencia de ese riesgo y la posibilidad de que un evento negativo se materialice.

Tipos de Riesgo

• Financieros – Los que implican una pérdida principalmente de tipo monetario

• Operacionales – Emergen del potencial de pérdida debida a deficiencias significativas en la

confidencialidad, integridad y disponibilidad de los componentes que soportan la operación de los sistemas.

• Tecnológicos – Surgen del estado de funcionamiento de los recursos tecnológicos utilizados.

• Reputación – Pérdida de credibilidad en el buen funcionamiento y operación del negocio, que

genera una pérdida financiera significativa o un retiro masivo de clientes.

• Legales – Surge de la violación o incumplimiento de las normativas legales vigentes, reglamentos de

operación, obligaciones contractuales de las partes, en relación con el manejo de los procesos. Ponderación de los Riesgos – La duración de la consecuencia afecta su severidad, por lo que los riesgos pueden ser referenciados en términos de que la probabilidad de ocurrencia sea grande, promedio o remota.

• Alto – Impacto severo

• Medio – Mediano Impacto

• Bajo – Impacto no elegible / remoto

La perspectiva del riesgo cambia con el nivel de evaluación. Las principales fuentes de riesgo son: