• No se han encontrado resultados

Diseño e implementación del proceso de gestión de Tecnologías de la Información en la empresa de software DESOFT V C

N/A
N/A
Info
Descargar
Protected

Academic year: 2020

Share "Diseño e implementación del proceso de gestión de Tecnologías de la Información en la empresa de software DESOFT V C"

Copied!
88
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 88 página )

Texto completo

(1)Trabajo de Diploma “Diseño e implementación del proceso de gestión de Tecnologías de la Información en la empresa de software DESOFT V.C” Autor: Yasley Bermúdez Navarro Tutores: MsC. Patricia Pérez Lorences MsC. Frank Medel González. Santa Clara 2012.

(2) Resumen En la presente investigación se aplica el procedimiento propuesto por Pérez Lorences (2010) para diseñar e implementar el proceso de gestión de TI en la empresa de software DESOFT V.C; como respuesta a la necesidad que tiene esta empresa de formalizar las actividades que deben ser llevadas a cabo en función de lograr planificar, organizar, adquirir, implantar, dar soporte y monitorear estos valiosos recursos. Adicionalmente se propone un procedimiento para la construcción de un CMI de TI, que a través de sus cuatro fases permite contar con una herramienta valiosa de control de gestión de TI y un indicador integral que exprese el comportamiento de la empresa en este sentido. A partir del diseño e implementación del proceso de gestión de TI en DESOFT se pudo comprobar la elevación de su nivel de gestión y la mejora del comportamiento en todos los dominios, quedando resueltos en gran medida la mayoría de los problemas identificados en esta empresa en el diagnóstico realizado en el año 2010..

(3) Summary This investigation applies the procedure proposed by Pérez Lorences ( 2010 ) to design and implementing the IT management process at the company of software DESOFT V.C; in response to the need to formalize the activities that must be accomplished in terms of planning, organizing, acquiring, establishing, giving support and monitoring these valuable resources. Additionally is proposed a procedure for the construction of a IT BSC, than through his four phases permits having a valuable IT tools of management control and an integral indicator that express the company performance in this sense. Beginning with the design and implementation of the IT management process in DESOFT could find the elevation of his management level and the improvement of the performance in all of the dominions itself, getting solved to a large extent the majority of the problems once 2010 were identified at this company in the diagnosis accomplished..

(4) Índice Introducción .......................................................................................................................... 1 Capítulo 1: Marco teórico referencial.................................................................................... 5 1.1 Conceptualización del término Gestión de TI .............................................................. 5 1.2 Metodologías, estándares y marcos de trabajo para la gestión de TI ........................... 7 1.2.1 Estándares ISO de Seguridad de la Información ................................................... 8 1.2.2 Estándares ISO de Gestión de TI........................................................................... 8 1.2.3 Biblioteca de Infraestructura de Tecnologías de la Información (ITIL, Information Technology Infrastructure Library) .......................................................... 10 1.3 Objetivos de Control para la Información y la Tecnología relacionada (COBIT, Control Objectives for Information and related Technology) .......................................... 10 1.4 Cuadro de Mando Integral de TI (IT BSC, IT Balanced Scorecard) .......................... 13 1.5 La gestión de procesos................................................................................................ 16 1.6 La Gestión de Procesos de Negocio (BPM, Bussines Process Management) ............ 17 1.7 Modelación de Procesos: notaciones y herramientas ................................................. 19 1.8 Situación actual de la gestión de TI en la Empresa de Software DESOFT V.C ........ 22 1.9 Conclusiones parciales ............................................................................................... 25 Capítulo 2: Diseño e implementación del proceso de gestión de TI en DESOFT .............. 26 2.1 Procedimiento para el diseño e implementación de un proceso de gestión ............... 26 2.1.1 Fase 1: Diseño ..................................................................................................... 27 2.1.2 Fase 2: Implementación ....................................................................................... 28 2.1.3 Fase 3: Control .................................................................................................... 29 2.2 Desarrollo de la Fase 1: Diseño del proceso de gestión de TI en DESOFT ............... 30 2.2.1 Etapa 2: Determinación de los subprocesos requeridos ...................................... 30 2.2.2 Etapa 3: Diseño y/o rediseño de cada subproceso ............................................... 30 2.2.3 Etapa 4: Diseño del proceso To-Be ..................................................................... 41 2.3 Desarrollo de la Fase 2: Implementación del proceso de gestión de TI en DESOFT 41 2.4 Conclusiones parciales ............................................................................................... 42 Capítulo 3: El control del proceso de gestión de TI en DESOFT ....................................... 43 3.1 Herramienta de control de gestión. IT BSC ............................................................... 43 3.1.1 Procedimiento específico para la construcción de un IT BSC ............................ 44 3.1.2 Aplicación del procedimiento: Diseño del CMI TI de DESOFT ........................ 53 3.2 Evaluación del proceso de Gestión de TI ................................................................... 62 3.3 Conclusiones parciales ............................................................................................... 63 Conclusiones Generales ...................................................................................................... 64 Recomendaciones ................................................................................................................ 65 Bibliografía .......................................................................................................................... 66.

(5) Introducción El creciente desarrollo de la sociedad, las tecnologías, el aumento de los estándares de calidad han propiciado una continua elevación de la competitividad entre empresas. En este entorno socioeconómico cada vez más interconectado y dependiente de una excelente gestión de la información y el conocimiento, las tecnologías de la información (TI) resultan un factor clave para que las organizaciones sean más competitivas y mantengan su posición en el mercado. La gestión efectiva de la TI contribuye indudablemente a agregar valor a los procesos de negocio de una organización, administrando de forma adecuada los riesgos y oportunidades asociados, provocando el incremento de ventas, mejora en el servicio al cliente, aumento en productividad, reducción de costos y mejor eficiencia en el manejo de los recursos económicos, entre otras. Es así que para muchas empresas, la información y la tecnología que la soporta, representan sus activos más valiosos, sin embargo pocas son las empresas que efectivamente hacen un uso adecuado de éstas. A través de investigaciones de las prácticas de gestión de TI en cientos de compañías en todo el mundo se ha constatado que la mayoría de las organizaciones no están optimizando su inversión en TI (ITGI, 2008). Cuba no es ajena a esta traba, la incorrecta gestión de TI en las empresas del país atentan contra el retorno de la inversión de las mismas y su efectiva explotación en función de los objetivos de negocio. La empresa nacional de software (DESOFT), es la encargada de brindar soluciones integrales eficaces en Tecnologías de Información a las organizaciones, para contribuir eficientemente al desarrollo de la sociedad cubana. En esta empresa las TI constituyen un elemento vital para el mantenimiento y desarrollo de sus objetivos del negocio. A partir del año 2010 se llevó a cabo en la empresa DESOFT V.C un estudio diagnóstico de la gestión de TI basado en la aplicación de un procedimiento general para diagnosticar el estado actual de la gestión de TI en una empresa, tomando como base el estándar COBIT, de prestigioso reconocimiento internacional. Además se calculó el Nivel de Gestión de TI en la empresa, que arrojó como resultado un valor de 30,85%; evaluándose entonces la gestión de nivel 1 “Inicial”. Las mayores dificultades estuvieron centradas en los dominios. 1.

(6) Introducción Planificación y Organización y Monitoreo y Evaluación, siendo este último el de peores resultados. El estudio evidenció la existencia de problemas que atentaban contra el logro del necesario alineamiento estratégico con los objetivos de negocio de la empresa. Entre estos es posible citar algunos: no existía una planificación estratégica de TI, predominando un enfoque reactivo; no se administraba la capacidad y el desempeño de los recursos de TI, formal ni periódicamente; no se monitoreaba ni evaluaba el desempeño de TI y su contribución a los objetivos de negocio; no se habían definido indicadores para medir las actividades de TI; no se empleaban técnicas de administración de proyectos para el desarrollo de soluciones internas; la identificación de necesidades de nuevas aplicaciones o funciones no se administraba formalmente; no se generaba documentación para facilitar la operación y el uso exitoso de los sistemas; entre otras. El diagnóstico de la gestión de sus TI reflejó la necesidad de contar con un proceso de gestión de TI que formalice las actividades que deben ser llevadas a cabo en función de lograr planificar, organizar, adquirir, implantar, dar soporte y monitorear estos valiosos recursos. De todo lo anterior se desprende la importancia de diseñar e implementar un proceso de gestión de TI en la organización. La situación problemática puede sintetizarse como la contradicción existente entre la necesidad que tiene la dirección de la empresa DESOFT V.C. de gestionar formalmente sus TI en función de sus objetivos de negocio y la inexistencia de un proceso de gestión de TI que permita a la dirección planificar, organizar, adquirir, implantar, dar soporte y monitorear sus recursos de TI. El problema científico sería: ¿Cómo diseñar e implementar un proceso de gestión de TI que permita a la dirección de la empresa DESOFT V.C planificar, organizar, adquirir, implantar, dar soporte y monitorear sus recursos de TI.? En correspondencia con lo planteado anteriormente se formuló la hipótesis investigativa siguiente: La aplicación de un procedimiento para el diseño e implementación del proceso de gestión de Tecnologías de la Información (TI) en la empresa de software DESOFT V.C. 2.

(7) Introducción permitirá formalizar la planificación, organización, adquisición, implantación, soporte y monitoreo de estos recursos; contribuyendo a elevar el desempeño de su gestión. Esta hipótesis quedará comprobada si una vez aplicado el procedimiento se logra: -. Determinar los subprocesos requeridos definiendo las actividades por cada subproceso, las entradas y salidas, los roles y responsabilidades, y los indicadores de meta y desempeño.. -. Implementar total o parcialmente los subprocesos diseñados en función de las posibilidades reales de la empresa.. -. Elevar el nivel de gestión de TI en la empresa.. El objetivo general de la investigación es: diseñar e implementar un proceso para la gestión de TI en la empresa de software DESOFT V.C. Se plantean como objetivos específicos los siguientes: 1. Elaborar un marco teórico que demuestre los estados del arte y la práctica de los objetos de investigación, para establecer las bases que permitan la solución del problema científico planteado. 2. Aplicar un procedimiento para diseñar e implementar el proceso de gestión de TI de la empresa de software DESOFT V.C. 3. Modelar el proceso de gestión de TI definido, haciendo uso de una herramienta informática, que facilite su posterior automatización. 4. Diseñar un Cuadro de Mando Integral de TI como herramienta de control de gestión. Para el desarrollo de la investigación se utilizaron métodos y técnicas empíricas como entrevistas, análisis de documentos, análisis comparativos, observación y criterio de expertos; métodos teóricos como analítico sintético, inductivo deductivo, la modelación y el enfoque sistémico estructural; métodos estadísticos y matemáticos como definición de indicadores y análisis de frecuencias. Para la modelación del proceso se utilizará el software TIBCO Bussines Studio, y para el tratamiento de algunos datos el SPSS, el Excel y el Super Decision.. 3.

(8) Introducción La investigación posibilita la formalización de la gestión de TI en la empresa DESOFT V.C con vistas a su mejora para garantizar que las TI soporten las metas del negocio, que se optimice la inversión del negocio en TI, y se administren de forma adecuada los riesgos y oportunidades asociados a estos recursos. El valor teórico de la investigación está dado por la elaboración de un marco teórico, resultado de la revisión de la literatura nacional e internacional sobre los temas que son abordados. El mismo puede contribuir al enriquecimiento de los estudios sobre la definición e implementación de procesos de gestión de TI y sugerir futuros estudios. El valor práctico radica en la aplicación de un procedimiento para diseñar e implementar el proceso de gestión de TI que permitirá a la dirección de la empresa planificar, organizar, adquirir, implantar, dar soporte y monitorear tan importantes recursos. Para su presentación, esta tesis se estructuró en tres capítulos. El Capítulo 1 define, el marco teórico-referencial de la investigación sobre las temáticas: gestión de tecnologías de la información (TI), metodologías y buenas prácticas para la gestión de TI y su evaluación, modelación y gestión de procesos, entre otras. En el Capítulo 2 se describe el procedimiento general para diseñar e implementar un proceso de gestión de TI en una organización y contiene la aplicación del procedimiento en la empresa de software DESOFT V.C. En el Capítulo 3 se diseña y aplica el cuadro de mando integral de TI. Además se presenta un cuerpo de conclusiones y recomendaciones derivadas de la investigación realizada, la bibliografía consultada y finalmente un grupo de anexos de necesaria inclusión, como complemento de los resultados expuestos.. 4.

(9) Capítulo 1: Marco teórico referencial Para realizar el presente capítulo de una manera correcta es necesario analizar las teorías, enfoques y antecedentes que se consideren válidos para soportar la investigación en curso, posibilitando un mayor entendimiento de los conceptos y métodos a los que se hace referencia. El hilo conductor seguido para la realización del mismo se muestra a continuación: ESTADO DEL ARTE. Framework COBIT para la orientación de TI al negocio. El Cuadro de Mando Integral de TI para el control de gestión. BPM: Gestión de Procesos de Negocio. Modelación de procesos. Notaciones y herramientas para la modelación de procesos. ESTADO DE LA PRÁCTICA. Estándares y marcos de trabajo para la gestión de TI. Gestión de Procesos. Situación actual de la gestión de TI en la Empresa de Software DESOFT V.C.. Gestión de Tecnologías de Información (TI). CONSTRUCCIÓN DEL MARCO TEÓRICO REFERENCIAL. Figura 1.1. Estrategia para la construcción del marco teórico – referencial de la investigación. 1.1 Conceptualización del término Gestión de TI La gestión de TI es utilizar y adaptar las tecnologías de forma que aporten un valor real medible, o sea, incorporar TI a la estrategia y la táctica del negocio, no solo a la operativa. Gestionar TI, es igualmente tomar las decisiones estratégicas y tácticas para aportar valor que genere beneficio […] [Marcos Pascual, 2005].. 5.

(10) Capítulo 1: Marco teórico referencial Según Narbona Sarria (2005) “la gestión de las TI es parte integral del éxito de la organización al asegurar mejoras medibles, eficientes y efectivas de los procesos de la organización. La gestión de TI provee las estructuras que unen los procesos de TI, los recursos de TI y la información con las estrategias y los objetivos de la organización. Para esto la dirección de la organización debe dirigir y organizar la dirección de las TI, ya que debe asegurarse que la gestión de las TI este alineada con los objetivos de la organización.” Estos autores concuerdan en que la GTI está en función de lograr el aporte de valor de las TI a los objetivos de negocio de la organización; aspecto con el cual se coincide en esta investigación, pero se considera además que el manejo del riesgo de TI debe ser considerado como parte de la gestión. Dicho enfoque se explicita en el concepto planteado por COBIT, donde se hace referencia al término de “gobierno de TI”. COBIT (2007) plantea que la necesidad del aseguramiento del valor de TI, la administración de los riesgos asociados a las TI, así como el incremento de requerimientos para controlar la información, se entienden ahora como elementos clave de la gestión de la empresa. El valor, el riesgo y el control constituyen la esencia del gobierno de TI. El gobierno de TI facilita que la empresa aproveche al máximo su información, maximizando así los beneficios, capitalizando las oportunidades y ganando ventajas competitivas [COBIT4.1, 2007]. Esta es la primera y más importante razón para la existencia del Gobierno de TI; usted necesita tener en control sus sistemas de soporte de la información [Van Bon, J., 2008]. En estos casos los conceptos gestión y gobierno son usados para definir elementos similares,. sin. embargo. en. otros. casos. se. usan. con. significados. diferentes,. fundamentalmente en términos de alcance. Otras definiciones de Gobierno de TI han sido dadas por los autores que se relacionan en la tabla 1. Estos autores coinciden en la responsabilidad de la organización sobre las decisiones de TI y en cómo manejar los recursos para lograr la alineación entre los objetivos empresariales y los objetivos de TI. Es necesario administrar y controlar las iniciativas en la organización de TIC para asegurar la recuperación de las inversiones y el mejoramiento de los procesos. Con la adopción de un modelo de Gobierno de TIC, se espera que las estructuras y procesos aseguren que TIC. 6.

(11) Capítulo 1: Marco teórico referencial soporte y maximice las metas y estrategias de la organización [Oliveira Luna, A. et al. 2010]. Tabla 1.1. Algunas definiciones de gobierno de TI Investigadores Brown and Magill (1994). Luftman(1996). Sambamurthy and Zmud (1999) Van Grembergen (2002) Weill and Vitale (2002) Schwarz and Hirschheim(2003). Definición de Gobierno de TI El gobierno de TI describe los puntos de responsabilidad para las funciones de TI. El gobierno de TI es el grado en el cual la autoridad para la toma de decisiones está definida y compartida entre la gerencia y los administradores de procesos en tanto la organización del negocio y TI determinan las prioridades en la configuración de TI y la asignación de los recursos de TI. El gobierno de TI se refiere a los patrones de autoridad para las actividades cruciales de TI. El gobierno de TI es la capacidad organizativa de la dirección, de la gerencia ejecutiva y de TI para controlar la formulación e implementación de estrategia de TI y de esta manera asegurar la fusión del negocio y las TI. El gobierno de TI describe el proceso global de compartir los derechos de decisión de TI y monitorear el desempeño de las inversiones de TI. El gobierno de TI consiste en estructuras o arquitecturas relacionadas y sus patrones de autoridad, para implementar con éxito las actividades de TI que respondan a las estrategias empresariales.. El gobierno de TI es responsabilidad de la dirección y la gerencia ejecutiva. Es una parte integral del gobierno empresarial y consiste en IT Governance el liderar y organizar estructuras y procesos que aseguren que la Institute (2004) organización de TI soporta y extiende las estrategias y objetivos de la organización. Weill and Ross El gobierno de TI especifica los derechos de decisión y la base para (2004) apoyar el comportamiento deseado en el uso de TI. El sistema por el cual el actual y futuro uso de TIC es dirigido y controlado. Involucra evaluar y dirigir los planes que permitan que el AS8015:2005 uso de TI soporte la organización y monitorear este uso para el logro de los planes. Esto incluye las estrategias y políticas para el uso de TIC junto con la organización. [Fuente: Van Bon, J., 2008]. 1.2 Metodologías, estándares y marcos de trabajo para la gestión de TI Afortunadamente en los últimos años han surgido y madurado estándares, metodologías y buenas prácticas que hacen posible la gestión de las TI, aunque quizás debido a la proliferación de las metodologías no siempre las empresas tienen claro por dónde empezar.. 7.

(12) Capítulo 1: Marco teórico referencial En este epígrafe se relacionan brevemente los principales estándares, metodologías y buenas prácticas reflejados en la literatura consultada. 1.2.1 Estándares ISO de Seguridad de la Información ISO/IEC 27001:2005. (Tecnología de Información – Técnicas de seguridad – Sistemas de gestión de seguridad de la información – Requerimientos) “Especifica los requisitos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de gestión de seguridad de la información en el contexto de los riesgos de negocio generales de la organización. Especifica los requerimientos para la aplicación de controles de seguridad” [ISO/IEC 27001, 2005]. Según Alan Calder (2006) siguiendo el conocido “Ciclo de Deming”. ISO/IEC 27002:2005. (Tecnología de información – Técnicas de seguridad – Código de prácticas para la gestión de seguridad de la información) Establece las directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de seguridad de la información en una organización. Los objetivos señalados proveen una guía general sobre las metas comúnmente aceptadas de la gestión de seguridad de la información [ISO/IEC 27002, 2005]. ISO/IEC 27005:2008. (Tecnología de información – Técnicas de seguridad – Gestión de los riesgos de seguridad de la información) Proporciona directrices para la gestión de riesgos de seguridad de la información. El conocimiento de los conceptos, modelos, procesos y terminologías descritas en la norma ISO/IEC 27001 y ISO/IEC 27002 es importante para una comprensión completa de la norma ISO/IEC 27005:2008. Es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que podrían comprometer la seguridad de la información de la organización [ISO/IEC 27005, 2008]. 1.2.2 Estándares ISO de Gestión de TI ISO/IEC 38500: 2008. Corporate governance of information technology (Gobierno Corporativo de TI). 8.

(13) Capítulo 1: Marco teórico referencial Como ejemplo de la creciente importancia de la gestión de TI, la Organización Internacional de Normalización (ISO) publicó en 2008 una nueva norma internacional que se define como ''Gobierno Corporativo de TI''. Según ITGI (2009) estos son algunos “beneficios del estándar ISO/IEC 38500: Resalta la importancia del gobierno de TI debido a los riesgos involucrados y a los requerimientos de inversión. Estimula a las empresas a usar normas apropiadas para consolidar su gobierno de TI. Provee un marco de trabajo de seis principios básicos para que usen los directores de empresas cuando evalúan, dirigen y monitorean el uso de TI en sus empresas. Estos principios ayudarán a los directores a balancear los riesgos y a promover oportunidades aumentando el uso de TI. Es aplicable para todas las empresas, desde las más pequeñas hasta las más grandes, independientemente de su propósito y su diseño. Deja en claro que un gobierno de TI correcto en la empresa puede ayudar a los directores para asegurar la conformidad con los deberes (regulación, legislación, el derecho común, contratos) concerniente al uso lo suficientemente bueno de TI y asegurando que ese uso de TI contribuye positivamente al desempeño de la empresa”. ISO/IEC 20000: 2005. Information technology-Service management (Tecnología de Información –Gestión de servicios) Es el primer estándar específico para la Gestión de Servicios de TI, y su objetivo es aportar los requisitos necesarios, dentro del marco de un sistema completo e integrado, que permita que una organización provea servicios TI gestionados, de calidad y que satisfagan los requisitos de negocio de sus clientes. Se ha publicado en dos partes: la primera especificación para la gestión de servicios de TI, se puede auditar y establece unos requisitos mínimos que deben cumplirse para obtener la certificación. La segunda especificación es el código profesional para la gestión de servicios, que describe las mejores prácticas para los procesos de gestión de servicios en el ámbito de la especificación [Akker, y otros, 2006].. 9.

(14) Capítulo 1: Marco teórico referencial ISO/IEC 20000-1: 2005 define los requisitos para un proveedor de servicios para ofrecer servicios gestionados [ISO/IEC 20000-1, 2005]. ISO/IEC 20000-2: 2005 ofrece asistencia a los proveedores de servicios de planificación de mejoras en el servicio o para ser auditadas según la norma ISO / IEC 20000-1 [ISO/IEC 20000-2,2005]. 1.2.3 Biblioteca de Infraestructura de Tecnologías de la Información (ITIL, Information Technology Infrastructure Library) Surge a finales de 1980, y es uno de los estándares mundiales más conocidos y utilizados en la gestión de servicios informáticos. ITIL se origina como una colección de libros que cubren prácticas específicas de la Gestión de Servicios de TI. La versión 3 es la más actual y fue lanzada en mayo del 2007. Está compuesta por 5 volúmenes: Estrategia del Servicio, Diseño del Servicio, Transición del Servicio, Operación del servicio y Mejora Continua del Servicio. ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de la Informática para alcanzar sus objetivos corporativos. Esta dependencia en aumento ha dado como resultado una necesidad creciente de servicios informáticos de calidad que se correspondan con los objetivos del negocio, y que satisfagan los requisitos y las expectativas del cliente [ITIL, 2006]. 1.3 Objetivos de control para la información y la tecnología relacionada (COBIT, Control Objectives for Information and related Technology) COBIT ha cambiado la forma en que trabajan los profesionales de TI. Vinculando tecnología informática y prácticas de control, consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores [ITGI & OGC, 2008]. A continuación se relacionan algunos elementos que describen y caracterizan a COBIT. Misión: investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes y auditores.. 10.

(15) Capítulo 1: Marco teórico referencial Usuarios: La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente. Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido. Los Responsables de TI: para identificar los controles que requieren en sus áreas. También puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de información del proceso, y por todos aquellos con responsabilidades en el campo de la TI en las empresas. Características: Orientado al negocio. Alineado con estándares y regulaciones "de facto". Basado en una revisión crítica y analítica de las tareas y actividades en TI. Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA) Medición del desempeño COBIT utiliza dos tipos de métrica: indicadores de metas e indicadores de desempeño. Los indicadores de metas de bajo nivel se convierten en indicadores de desempeño para los niveles altos [Champlain 2003]. Los beneficios de implementar COBIT como marco de referencia para la gestión de las TI incluyen: mejor alineación, con base en su enfoque de negocios; una visión, entendible para la gerencia, de lo que hace TI; propiedad y responsabilidades claras, con base en su orientación a procesos; aceptación general de terceros y reguladores; y entendimiento compartido entre todos los participantes, con base en un lenguaje común. COBIT se desarrolló como un framework genérico, apto para “cualquier organización”. Contiene una gran cantidad de información valiosa, pero en la primera lectura de la. 11.

(16) Capítulo 1: Marco teórico referencial documentación puede ser difícil captar la esencia y/o los elementos prácticos. Para una aproximación práctica, es importante para una organización extraer la información necesaria y transformarlo en una plantilla específica para la organización. Algunos procesos pueden ser más importantes para una organización que para otra. La versión actual de COBIT es la 4.1 del 2007. El marco de trabajo de COBIT (figura 1.2) se basa en el principio de proporcionar la información que la empresa requiere para lograr sus objetivos, la empresa necesita administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de información [COBIT4.1, 2007].. Figura 1.2. Marco de trabajo general de COBIT [Fuente: COBIT4.1, 2007].. 12.

(17) Capítulo 1: Marco teórico referencial Los cuatro “dominios” principales que ofrece COBIT son: Planificación y organización, Adquisición e implantación, Entrega y soporte, Monitoreo y evaluación. Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de información, como de la tecnología que la respalda, facilitando que la generación y procesamiento de la información cumplan con las características de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. 1.4 Cuadro de mando integral de TI (IT BSC, IT Balanced Scorecard) El cuadro de mando integral (CMI) es la herramienta de gestión que traduce la estrategia de la empresa en un conjunto coherente de indicadores. El CMI como herramienta de control de gestión fue introducido por Kaplan y Norton en el ámbito empresarial desde 1992. Su idea básica según [Kaplan, 2001] es que “la evaluación de una organización no debe restringirse a evaluación financiera tradicional sino que debería ser complementada con medidas concernientes a la satisfacción de los clientes, a los procesos internos y a la capacidad de innovar.” El modelo estándar del BSC, debía ser modificado cuando se fuese a aplicar a las TI. (…)La aplicación de BSC a las TI fue descrita por Van Grembergen & Van Bruggen (1997) y Van Grembergen & Timmerman (1998) [Van Grembergen, 2007]. Las adaptaciones realizadas por estos autores, generaron un BSC genérico para las TI. La perspectiva de “orientación al usuario” representa la evaluación de los usuario de TI. La perspectiva de la “excelencia operacional” representa los procesos de TI empleados para desarrollar y entregar las solicitudes. La perspectiva de “orientación futura” representa los recursos humanos y tecnológicos que necesita TI para prestar sus servicios. La perspectiva de “contribución al negocio” refleja el valor para el negocio de las inversiones en TI. Cada una de estas perspectivas tiene que ser traducida en las correspondientes métricas y medidas que evalúan la situación actual. Estas evaluaciones deben ser repetidas periódicamente y tienen que ser confrontados con los objetivos que tienen que fijarse de antemano y con cifras de benchmarking. Muy esencial es que dentro del IT BSC sean establecidas las relaciones causa efecto y sean aclaradas las conexiones entre los dos tipos de medidas, de resultado y de rendimiento [Van Grembergen, 2009].. 13.

(18) Capítulo 1: Marco teórico referencial El BSC de TI es uno de los más eficaces medios de ayuda a la junta y a la dirección para lograr la alineación del negocio y TI. Los objetivos son determinar un medio para que la dirección informe a la junta; promueva el consenso entre los objetivos estratégicos de TI; demuestre la eficacia y añada el valor de TI; y se comunique sobre el rendimiento, los riesgos y las capacidades de las TI [ITGI, 2007]. Según Borousan (2011) algunos beneficios del BSC de TI son: Organizaciones y departamentos lo usan como simple herramienta para medir desempeño, que facilita la integración de la planeación y evaluación de TI. Provee metas y normas para todos los aspectos del negocio, incluyendo TI. La integración del negocio y el gobierno de TI elimina o minimiza la distancia entre estos. La siguiente figura muestra las cuatro dimensiones del BSC de TI: Contribución empresarial, Orientación al usuario, Excelencia Operacional y Orientación futura.. Figura 1.3: Perspectivas del cuadro de mando de TI y sus relaciones de causa-efecto [Fuente: Borousan. E. 2011]. El proceso del cuadro de mando de TI que comienza con una perspectiva de contribución empresarial es un proceso lógico. Las otras tres perspectivas tienen una relación causal con. 14.

(19) Capítulo 1: Marco teórico referencial la contribución empresarial y tienen relación de causa y efecto entre cada una [Borousan, E. 2011]. Con la mejora de la educación del gobierno de TI (orientación futura) se puede mejorar el nivel de planeación e interrelación TI/negocio (excelencia operacional), lo cual puede mejorar la satisfacción de los interesados (orientación al usuario) y tener un positivo efecto en la estrategia y proyectos de TI (contribución empresarial). El enfoque de las cuatro perspectivas para ser aplicadas en procesos y proyectos necesita ser interpretado, definiendo la misión, objetivo y métricas de cada perspectiva. La perspectiva de Orientación Futura muestra cuan extendida está la compañía aportando las bases para el desarrollo futuro. Excelencia Operacional hace un énfasis especial en la operación de TI y los procesos relacionados; el logro en esta dimensión es la base del logro de la perspectiva Satisfacción al Usuario. Esta última evalúa la interacción entre TI y los diferentes interesados y el grado de satisfacción. En la perspectiva de Contribución Empresarial los resultados de TI son determinados y se puede ver cuan extendida está TI y puede ayudar a alcanzar las metas empresariales.. Figura 1.4. Cuadro de mando integral genérico para TI [Fuente: Van Grembergen, 2009].. 15.

(20) Capítulo 1: Marco teórico referencial 1.5 La gestión de procesos Tradicionalmente, las organizaciones se han estructurado a partir de departamentos funcionales, con muchos niveles de jerarquía, que dificultan la orientación hacia el cliente. La gestión por procesos interrelaciona los procesos de una organización contribuyendo conjuntamente a incrementar la satisfacción del cliente. Como consenso, a menudo suele centrarse primeramente en el estudio de los procesos de negocios, o sea, aquellos que inciden de manera significativa en los objetivos estratégicos y tienen un fuerte impacto sobre las expectativas del cliente. El primer paso para adoptar un enfoque basado en procesos en una organización […] es precisamente reflexionar sobre cuáles son los procesos que deben configurar el sistema, es decir, qué procesos deben aparecer en la estructura de procesos del sistema […]. Ante este “dilema”, es necesario recordar que los procesos ya existen dentro de una organización, de manera que el esfuerzo se debería centrar en identificarlos y gestionarlos de manera apropiada [Beltrán, J. et al., 2002]. La gestión de procesos coexiste con la administración funcional, asignando "propietarios" a los procesos claves, haciendo posible una gestión ínter funcional generadora de valor para el cliente y que, por tanto, procura su satisfacción. Determina qué procesos necesitan ser mejorados o rediseñados, establece prioridades y provee de un contexto para iniciar y mantener planes de mejora que permitan alcanzar objetivos establecidos. Hace posible la comprensión del modo en que están configurados los procesos de negocio, de sus fortalezas y debilidades [Rojas Moya, 2007]. Para implantar este tipo de gestión se hace necesario definir los procesos que se desarrollan en la empresa. Un paso principal para lograr esta definición lo constituye la modelación del negocio y sus procesos. En la literatura se suele dar una especificación acerca de procesos de negocio, a la cual se le refiere como la definición de tareas y secuencias de esas tareas necesarias para entregar una función de negocio (…) De la misma forma se deriva que la modelación de procesos es la documentación, análisis y diseño de la estructura de procesos de negocios, sus relaciones con los recursos necesitados para implementarlo y el ambiente en el cual van a ser usados [R. Davis, 2000].. 16.

(21) Capítulo 1: Marco teórico referencial 1.6 La gestión de procesos de negocio (BPM, Bussines Process Management) El enfoque de gestión por procesos en una empresa se remonta a varios años ya, sin embargo, los estándares y los avances tecnológicos recientes han elevado la gestión por procesos a un nuevo nivel: La Gestión de Procesos de Negocio (BPM), que comienza su desarrollo a partir del año 2000. Un proceso de negocio es un conjunto de tareas relacionadas lógicamente llevadas a cabo para lograr un resultado de negocio definido. Cada proceso de negocio tiene sus entradas, funciones y salidas [Wikipedia, 2011]. BPM es un conjunto de métodos, herramientas y tecnologías utilizados para diseñar, representar, analizar y controlar procesos de negocio. BPM es un enfoque centrado en los procesos para mejorar el rendimiento que combina las tecnologías de la información con metodologías de proceso y gobierno. BPM es una colaboración entre personas de negocio y tecnólogos para fomentar procesos de negocio efectivos, ágiles y transparentes. BPM abarca personas, sistemas, funciones, negocios, clientes, proveedores y socios [Garimella, 2008]. En esencia BPM es un conjunto de tecnologías y estándares para el diseño, implementación, administración y monitoreo de los procesos de negocio en una organización. Metodológicamente una iniciativa BPM puede centrarse en las etapas siguientes: Modelación del proceso AS – IS. Análisis del proceso. Identificación de mejoras. Modelación del proceso TO – BE. Implementación. Monitoreo y mejora del proceso. Debido a la naturaleza compleja y dinámica de las organizaciones, los modelos son necesarios para entender el comportamiento de las mismas y diseñar los nuevos sistemas así como mejorar el funcionamiento de los existentes [Sanchís, 2009].. 17.

(22) Capítulo 1: Marco teórico referencial A pesar de la importancia que tienen los procesos de negocios, no es una práctica común el que sean representados a través de modelos, de tal forma que constituyan una base para la toma de decisiones futuras. La gran mayoría de las organizaciones no representa esquemáticamente cómo son sus procesos. Adicionalmente, cuando se representan los procesos del negocio se consideran solo implícitamente o de manera incompleta los sistemas informáticos que apoyan a estos procesos. Muchas veces los procesos resultan complejos de entender y difíciles de organizar, dado que involucran múltiples actividades, personas, departamentos, etc. La utilización de un modelo nos permite organizarlos y documentarlos con el fin de facilitar su descripción y entendimiento. Al modelar los procesos obtenemos múltiples beneficios: Tener una perspectiva completa del proceso de principio a fin. (En procesos en los cuales participan muchas personas es poco común que todas conozcan el proceso completo). Localizar fallas, desconexiones y problemas. Generar soluciones a los problemas detectados. Reducir el tiempo de ciclo. Comunicar. El punto de partida de la gestión por procesos y por ende del BPM es la modelación de procesos a partir de su identificación. El objetivo esencial de la modelación, además de la formalización y normalización del proceso, es analizar cómo se lleva a cabo el proceso actual para encontrar las mejoras potenciales para su optimización. Pueden identificarse las actividades que no añaden valor, la duplicación de responsabilidades, los sistemas que intervienen en el proceso, las actividades que pueden ser automatizadas, las debilidades del proceso, los riesgos, etc. Además es posible analizar datos cuantitativos como son: evaluaciones de tiempo y costo, indicadores de desempeño que midan la calidad del proceso, la satisfacción del cliente y otros. Para soportar esta estrategia es necesario contar con un conjunto de herramientas que den el soporte necesario para cumplir con el ciclo de vida de BPM. Este conjunto de herramientas. 18.

(23) Capítulo 1: Marco teórico referencial son llamadas Business Process Management System y con ellas se construyen aplicaciones BPM. 1.7 Modelación de procesos: notaciones y herramientas Para la modelación de un proceso o un negocio, Scheer (1998) define los siguientes aspectos como características clave: una representación de algo real; construido a cierta escala y cierto nivel de detalle para mostrar puntos de vista; representativo de una foto fija en el tiempo; construido para un propósito. Es habitual distinguir entre notaciones de modelado y herramientas de modelado. Las notaciones se refieren a los símbolos y diagramas empleados para analizar el sistema, las cuales pueden, o no, estar soportadas por aplicaciones de software (herramientas) que ayudan en el proceso de modelado y permiten la construcción de un repositorio de modelos. Estas son algunas de las técnicas más significativas en el modelado de procesos de negocio que se han desarrollado para facilitar la comunicación y la captura de información: Diagrama de flujo - Flow Chart. Diagramas de flujo de datos- Data Flow Diagram (DFD). Diagrama entidad-relación - Entity-Relationship (ER) Diagram. Diagrama estado-transición - State Transition (ST) Diagram. IDEF - Integrated Definition for Function Modelling. Diagramas de actividad de roles - Role Activity Diagram (RAD). Diagrama de interacción de roles - Role Interaction Diagram (RID). Redes Petri - Petri Nets (PN). Técnica Orientada a Objetos - Object-Oriented (OO) Technique. UML (Unified Modelling Language).. 19.

(24) Capítulo 1: Marco teórico referencial Los modelos y lenguajes de modelación antes mencionados no permiten totalmente la representación de: tipo de proceso, tipo de sistema, nivel de importancia, y capacidad de automatización de actividades. Tampoco es representable la relación de orden entre actividades y recursos. La gran mayoría de estos modelos no tienen elementos específicos que permitan representar la relación entre las actividades de los procesos y los sistemas informáticos. El Business Process Management Initiative (BPMI) desarrolló una notación llamada Business Process Modeling Notation (BPMN), que constituyó un consenso y se convirtió en la notación de modelado de procesos de negocio estándar. El BPMI Notation Working Group trabajó para consolidar las mejores ideas de todas estas notaciones para crear una sola notación estándar. Ejemplos de otras notaciones o metodologías que fueron revisadas son: diagramas de actividades de UML, UML EDOC Business Processes, IDEF, ebXML BPSS, diagrama de flujo de actividades-decisiones (ADF), RosettaNet, LOVeM, Cadenas de Eventos-Procesos (EPCs). BPMN es una notación de diagrama de flujo para definir procesos de negocios. Es un acuerdo entre múltiples herramientas de modelado, que tenían sus propias notaciones, para usar una notación común para beneficiar el entendimiento y entrenamiento de los usuarios finales [A. White, 2008]. La especificación de la versión 1.0 salió al público en mayo del 2004 y la v 1.1 en el año 2008. El objetivo principal de los esfuerzos de BPMN era dar una notación rápidamente comprensible, desde el analista de negocio que hace el borrador inicial de los procesos, pasando por los desarrolladores técnicos responsables de implementar la tecnología que llevarán a cabo dichos procesos, llegando finalmente a la gente de negocio que gestionará y monitorizará esos procesos. BPMN define cuatro categorías básicas de elementos que son: Objetos de flujo, Artefactos, Swimlanes y Objetos conectores. En la figura 1.5 se muestra de manera general la simbología de las categorías básicas.. 20.

(25) Capítulo 1: Marco teórico referencial. Figura 1.5. Simbología de las categorías básicas de BPMN [Fuente: Business Process Modeling Notation, V1.1. OMG Available Specification]. Es sabido que no es imprescindible el uso de un software para la modelación del negocio, pero claramente existe un gran número de ventajas al usar una herramienta para ello, tales como: incita a la estandarización. mejora la calidad y el rigor del diseño del proceso. permite múltiples puntos de vista. facilita la retroalimentación desde los usuarios finales. provee una herramienta de análisis. soporta la reutilización. Existen numerosas herramientas disponibles para llevar a cabo la modelación y análisis de procesos. En el Anexo 1 se muestra una tabla de las principales encontradas en la bibliografía revisada y una breve descripción de sus características. TIBCO Business Studio es una herramienta BPM con la que se puede modelar procesos de negocio siguiendo el estándar BPMN fácilmente. Resulta fácil simular el comportamiento de los procesos BPM (para ver cuellos de botella en procesos reales de negocio, dimensionar el personal, definir cupos de atención, etc.). TIBCO Business Studio es para los analistas de negocios y aquellos responsables de la implementación de procesos de negocios [TIBCO 2006].. 21.

(26) Capítulo 1: Marco teórico referencial La siguiente figura muestra como TIBCO Business Studio es analizado para su uso.. Figura 1.6. Diagrama para facilitar la interpretación y el uso de TIBCO Business Studio [Fuente: TIBCO 2006]. De este software se encuentran numerosos manuales, tanto en idioma inglés como en español, en internet, haciéndolo una herramienta de fácil uso a la misma vez que profesional y actual. 1.8 Situación actual de la gestión de TI en la empresa de software DESOFT V.C. La empresa nacional de software fundada el 5 de enero del 2004, es una organización cubana, subordinada al Ministerio de la Informática y las Comunicaciones (MIC). Sus antecedentes se manifiestan a partir del año 2003 con la reestructuración realizada en agosto de este año en que se crea una nueva empresa utilizando el nombre de DESOFT y particularidades del negocio a partir de la fusión de las Empresas de Servicios Informáticos existentes en todos los territorios del país, la empresa SOFTCAL, y algunos productos y especialistas y técnicos de las empresas CENTERSOFT y SOFTEL, todas pertenecientes al Grupo de Tecnologías de la Información del Ministerio de la Informática y las Comunicaciones. La Empresa DESOFT S.A. División Villa Clara se encuentra localizada en Santa Clara Esquina 4ta Reparto Tirso Díaz. Fue creada por Resolución No. 13/04 con fecha 20 de Marzo del 2004, del Ministerio de la Informática y las Comunicaciones.. 22.

(27) Capítulo 1: Marco teórico referencial La misión definida por esta organización es la siguiente: Contribuir a la informatización de la sociedad cubana y a una mayor efectividad de nuestros clientes, mediante el despliegue y soporte de soluciones informáticas integrales basadas en tecnologías de avanzada y un personal competente y comprometido, con calidad y eficiencia sostenibles en nuestra gestión. Su visión es: Somos una organización líder en el despliegue y soporte de servicios y soluciones informáticas de calidad reconocida, con especialistas competentes y comprometidos y un efectivo sistema de dirección y gestión empresarial. El objetivo de negocio identificado es: Brindar soluciones integrales eficaces en Tecnologías de Información a las organizaciones, para contribuir eficientemente al desarrollo de la sociedad cubana. Este se subdivide en: Prestar servicios de desarrollo, producción y comercialización de software y aplicaciones informáticas de todo tipo en moneda nacional. Prestar servicios de ejecución y comercialización mayorista de soluciones informáticas integrales en moneda nacional y divisa. Representar, intermediar y distribuir en el país productos y soluciones informáticas nacionales y extranjeras y ofrecer sus servicios asociados en moneda nacional y divisa. Brindar servicios de instalación, mantenimiento, garantía y postventa directamente relacionado con sus producciones, en moneda nacional y divisa. Comercializar de forma mayorista productos e insumos asociados a las actividades que realiza, en moneda nacional y divisa, según nomenclatura aprobada por el Ministerio de Comercio Exterior. Exportar productos y servicios de acuerdo a nomenclatura aprobada por el Ministerio de Comercio Exterior. Brindar servicios de consultoría y asesoría especializada en su actividad en moneda nacional. Brindar servicios de capacitación y formación en las tecnologías de la información y automatización, en moneda nacional para personas naturales y/o jurídicas cubanas.. 23.

(28) Capítulo 1: Marco teórico referencial En esta empresa las TI son parte de la estrategia del negocio pues la mayoría de sus procesos dependen en gran medida de estas. En la empresa la existencia de las TI determina totalmente la ejecución de algunos procesos de negocio ya que al ser una empresa de desarrollo de software los recursos de tecnologías de la información no solo son necesarios sino indispensables para el proceso de desarrollo en sí mismo. En DESOFT las TI están enfocadas en el cliente, los clientes de esta empresa son clientes de TI. Estudios realizados por Pérez Lorences (2010) en la empresa DESOFT V.C. para diagnosticar la gestión de TI basado en la aplicación de un procedimiento general para diagnosticar el estado actual de la gestión de TI en una empresa, arrojó que el Nivel de Gestión de TI en DESOFT V.C. tiene un valor de 30,85%; evaluándose entonces la gestión de nivel 1 “Inicial”. Las mayores dificultades estuvieron centradas en los dominios Planificación y Organización y Monitoreo y Evaluación, siendo este último el de peores resultados. A partir de este estudio se determinaron los principales problemas que afectan la gestión de las TI en DESOFT: No existe planificación estratégica de TI, predominando un enfoque reactivo. Nunca se revisa la calidad de los proyectos y servicios de TI. No se emplean técnicas de administración de proyectos para el desarrollo de soluciones internas. La identificación de necesidades de nuevas aplicaciones o funciones no se administra formalmente. No se genera documentación para facilitar la operación y el uso exitoso de los sistemas. No se verifica formalmente que los cambios y las nuevas soluciones se ajusten a las necesidades. No se administra la capacidad y el desempeño de los recursos de TI, formal ni periódicamente.. 24.

(29) Capítulo 1: Marco teórico referencial No se monitorea ni evalúa el desempeño de TI y su contribución a los objetivos de negocio. No se han definido indicadores para medir las actividades de TI. En esta empresa no existe formalmente un proceso definido para la gestión de sus TI, impidiendo a la dirección planificar, organizar, adquirir, implantar, dar soporte y monitorear sus recursos de TI efectivamente en función de sus objetivos de negocio y considerando la administración de los riesgos y beneficios asociados. 1.9 Conclusiones parciales Una vez concluido el marco teórico referencial de esta investigación se plantean las siguientes conclusiones parciales: El marco teórico referencial demuestra la importancia de la gestión de TI y de la alineación con los objetivos de la organización para mejorar el desempeño de los procesos, así como el papel de la gerencia en la dirección de los recursos de TI para maximizar las metas y estrategias de la organización. La Gestión de Procesos de Negocio (BPM) se presenta como el conjunto de herramientas fundamentales para comprender mejor y monitorear los procesos en una organización, resaltando la trascendencia de la modelación de los procesos para facilitar su entendimiento. Existen múltiples herramientas y notaciones de modelado, pero la notación BPMN (Business Process Modeling Notation) surge para aportar concordancia entre los modelos existentes, siendo comprensible para todo el personal de TI. El análisis de la situación actual de la gestión de TI en la empresa de software DESOFT V.C. evidenció la necesidad de diseñar e implementar un proceso de gestión de TI que permita a la dirección planificar, organizar, adquirir, implantar, dar soporte y monitorear sus recursos de TI.. 25.

(30) Capítulo 2: Diseño e implementación del proceso de gestión de TI en DESOFT El análisis del estado del arte y de la práctica reflejó la necesidad de diseñar e implementar un proceso de gestión de las tecnologías de la información para la empresa de software DESOFT V.C. que permita a la dirección planificar, organizar, adquirir, implantar, dar soporte y monitorear sus recursos de TI. En este capítulo se presenta brevemente el procedimiento seleccionado para cumplimentar esta necesidad y la aplicación de sus dos primeras fases. 2.1 Procedimiento para el diseño e implementación de un proceso de gestión El procedimiento está estructurado en 9 etapas distribuidas en 3 fases como se muestra en la figura 2.1 y tiene como objetivo: diseñar e implementar un proceso de gestión de TI; a partir de la evaluación previa de dicha gestión; considerando la alineación de TI a los objetivos de negocio y la administración de los riesgos y beneficios asociados.. Figura 2.1. Procedimiento para diseñar, implementar y controlar la gestión de TI en una organización [Fuente: Pérez Lorences, 2010].. 26.

(31) 2.1.1 Fase 1. Diseño La fase de diseño se ha conformado bajo el enfoque de Gestión de Procesos de Negocios (BPM, Business Process Management). El análisis de la situación actual de la gestión de las TI en la organización se debe haber realizado previamente, por tanto en caso de que exista definido un proceso TI en la organización esta fase comienza con la modelación del proceso As-Is; en caso contrario se pasa a la etapa 2. Etapa 1. Modelación y análisis del proceso As-Is. En esta etapa se modela el proceso de gestión de TI que existe actualmente en la organización. Se recomienda utilizar la notación para la modelación de procesos de negocio (BPMN, Business Process Modeling Notation. El equipo de trabajo debe definir la notación a utilizar y la herramienta informática a emplear para la modelación. La modelación de la situación actual permite identificar las oportunidades de mejora del proceso, señalando a partir del diagnóstico realizado las deficiencias que pueden existir en la estructura del proceso actual y la necesidad de incorporar nuevos subprocesos y/o actividades, que pueden basarse en el framework de COBIT. Las etapas 2 y 3 se corresponden con la propuesta de mejoras al proceso AS-IS. Etapa 2. Determinación de los subprocesos requeridos. A partir del diagnóstico de la situación actual de la gestión de las TI en la empresa y la implementación de las medidas propuestas, en esta etapa el análisis a realizar incluye: •. Analizar los procesos de COBIT que son pertinentes o no en la organización.. •. Analizar qué otros procesos se requieren en correspondencia de las características de la organización, que no están contemplados en el marco de trabajo de COBIT.. Etapa 3. Diseño y/o rediseño de cada subproceso. En esta etapa deben rediseñarse los procesos que define COBIT en función de las características de la organización y/o diseñar los nuevos procesos adicionales que son requeridos. Los elementos a tener en cuenta son: •. Descripción general del subproceso. •. Descripción de las actividades del subproceso. •. Entradas y salidas del subproceso. 27.

(32) •. Gráfica RACI [Responsibility (Responsabilidad), Accountable (Rendir cuentas), Consulted (Consultado), Informed (Informado)],. •. Metas y métricas del proceso.. El rediseño parte de un análisis exhaustivo de los procesos para adaptarlos a las condiciones particulares de la entidad, que incluye los pasos siguientes: Adecuar términos y definir conceptos; Redefinir, eliminar y/o adicionar actividades; Redefinir, eliminar y/o adicionar metas y métricas; Redefinir, eliminar y/o adicionar entradas y salidas y Reelaborar las gráficas RACI. Etapa 4. Diseño del proceso To-Be Una vez redefinidos cada uno de los subprocesos se procede a diseñar el proceso To-Be, que mostrará cómo se relacionan estos subprocesos conectados entre sí por sus entradas y salidas. Los pasos de esta etapa son: Modelar el proceso To-Be; Evaluación y aprobación del proceso diseñado; Rediseño en función de la evaluación y Documentar el proceso ToBe. 2.1.2 Fase 2. Implementación Etapa 5. Elaboración de un plan de implementación Para garantizar el funcionamiento exitoso del proceso diseñado para la gestión de las tecnologías de información se debe establecer un plan de implementación. Este plan se caracteriza por tener enmarcadas todas las acciones que se deben tomar en consideración para garantizar el tránsito desde la forma de trabajo actual hacia el proceso recomendado. Etapa 6. Implementación gradual de los subprocesos A partir de las prioridades definidas en el plan de implementación en esta etapa se procede a implementar gradualmente los subprocesos. En la implementación, es de suma importancia asegurar el compromiso de la alta dirección para lograr resultados exitosos. Este compromiso debe ser tangible a través de la participación activa, disposición para el cambio, asignación de recursos, comunicación interna, seguimiento del proceso y adopción de acciones para alcanzar los propósitos. La preparación y formación de los directivos y todo el personal de la organización, a través de programas de capacitación centrados en desarrollar conocimientos y habilidades en la gestión de TI, puede ser útil en esta etapa.. 28.

(33) 2.1.3 Fase 3. Control Esta fase está dedicada a evaluar y controlar el comportamiento de la gestión de las TI en la organización, con la implementación del proceso TI, constituyendo el “motor” de mejora continua del procedimiento. El control del proceso TI no requiere que este haya sido implementado totalmente, sino que puede llevarse a cabo independientemente por cada uno de los subprocesos, permitiendo tomar decisiones durante la fase de implementación y mantener un sistema de control y seguimiento que garantice el cumplimiento exitoso de las acciones establecidas. Para controlar el desempeño global de la gestión de TI en la organización se propone además determinar el indicador Nivel de la Gestión de TI, analizando su comportamiento respecto al estado en que se encontraba antes de implantar las mejoras en la organización. También se ha diseñado para el control de la gestión de TI un cuadro de mando integral. Todo lo anterior se desglosa en las tres etapas que se muestran a continuación: Etapa 7. Control de los subprocesos En esta etapa se propone el cálculo de los KPI durante la realización de un subproceso y los indicadores clave de metas KGI, después de implementado para determinar si logró o no su objetivo. Los KPI determinan qué tan bien se está desempeñando el proceso de TI para alcanzar la meta, indicando si será factible lograr una meta o no y los KGI definen mediciones para informar si un proceso TI alcanzó sus requerimientos de negocio. Etapa 8. Herramienta de control de gestión. IT BSC Como herramienta de control de gestión en esta etapa se plantea diseñar un cuadro de mando integral de TI. Puede partirse del diseño genérico desarrollado por Van Grembergen (2009). Este diseño y la propuesta de indicadores deben ser adaptados por la organización en función del proceso de TI diseñado, sus intereses y características propias. Etapa 9. Evaluación del proceso TI En esta última etapa se debe recalcular el indicador Nivel de Gestión de TI, lo que permite realizar una comparación de los resultados del comportamiento de la situación actual, una vez implementado el proceso TI, con los resultados derivados del diagnóstico inicial. Con esta comprobación se puede comprobar la eficacia del proceso propuesto lo cual además. 29.

(34) permite dar una medida del grado de efectividad del mismo y establecer las mejoras pertinentes en caso de ser necesarias. Si el proceso propuesto es el adecuado para gestionar las tecnologías de información en la organización y ha implicado mejoras tangibles, será necesario revisar su desempeño periódicamente, según las características de la organización y los cambios que se puedan generar interna o externamente. Si el desempeño de la organización no ha evolucionado favorablemente, se analizarán las causas que pueden estarlo provocando. El análisis puede arrojar problemas en la implementación del proceso o en su diseño, en cuyo caso se procederá al perfeccionamiento del mismo. Además deben considerarse los eventos externos, que durante el periodo que se considera para la evaluación, pudieron incidir sobre estos resultados. Posteriormente se procede a la propuesta de medidas que contribuyan al proceso de mejora continua. Este análisis puede retornar a las fases uno y/o dos del procedimiento para el rediseño del proceso, en función de las deficiencias detectadas en su diseño inicial y/o su implementación, para lograr las mejoras necesarias. De no ser necesario se continúa con la implementación y consolidación del proceso TI en la organización. 2.2 Desarrollo de la Fase 1. Diseño del proceso de gestión de TI en DESOFT Por no existir un proceso definido de gestión de TI en la empresa se procedió a la ejecución de la etapa 2 del procedimiento. 2.2.1 Etapa 2. Determinación de los subprocesos requeridos A partir del diagnóstico de la situación actual de la gestión de las TI en la empresa y la implementación de las medidas propuestas, fueron definidos los procesos y subprocesos que conforman el proceso de gestión de TI en la empresa. 2.2.2 Etapa 3. Diseño y/o rediseño de cada subproceso En esta etapa fueron adecuados y definidos un conjunto de conceptos al contexto de la entidad, se determinaron las actividades correspondientes a cada subproceso requerido, así como sus entradas y salidas. De igual forma fueron identificados los roles por actividad y se identificaron las principales metas y métricas a los tres niveles señalados en el capítulo anterior. Estos resultados fueron tabulados como se muestra en las tablas 2.1 y 2.2.. 30.

(35) Tabla 2.1. Macroproceso de gestión de TI de DESOFT V.C. (actividades y roles).. Adquisición e Implantación. Planificación y Organización. Cod.. Subprocesos. PO1. Definir un plan estratégico de TI.. PO2. Determinar la dirección tecnológica. PO3. Definir los procesos, organización y relaciones de TI. PO4. Administrar la inversión en TI. PO5. Evaluar y administrar los riesgos de TI. AI1. Identificar soluciones automatizadas. AI2. Adquirir y mantener software aplicativo. AI3. Adquirir y mantener infraestructura tecnológica. AI4. Facilitar la operación y el uso. Cod PO1.1 PO1.2 PO1.3 PO2.1 PO2.2. PO3.2 PO3.3 PO4.1 PO4.2 PO5.1 PO5.2 PO5.3 PO5.4 AI1.1 AI1.2 AI2.1 AI2.2 AI3.1 AI3.2 AI4.1. Actividades Relacionar las metas del negocio con las de TI Definir un plan estratégico de TI Definir planes tácticos de TI Crear y mantener un plan de infraestructura tecnológica Monitorear la evolución tecnológica Establecimiento de roles y responsabilidades de autoridad de TI, incluida la supervisión y segregación de funciones Identificar dueños de sistemas Identificar dueños de datos Establecer y mantener proceso presupuestal de TI Identificar y monitorear la inversión, costo y valor de TI para el negocio Evaluar riesgos asociado con los eventos Identificación de eventos Evaluación y seleccionar respuesta a riesgos de TI Mantenimiento y monitoreo de un plan de acción de riesgos Definición y mantenimiento de los requerimientos técnicos y funcionales del negocio Definir si se debe comprar o desarrollar, considerando además la mejora de los sistemas existentes Traducir los requerimientos del negocio en especificaciones de diseño de alto nivel Desarrollar un plan para el mantenimiento de aplicaciones de software Definir el proceso de adquisición Planear el mantenimiento de infraestructura Desarrollar manuales de procedimiento del usuario final. AI4.2. Desarrollar documentación de soporte técnica para el personal de operaciones y soporte. PO3.1. AI5.1 AI5. Administrar cambios. AI6. Instalar y acreditar soluciones y cambios. AI5.2 AI5.3 AI5.4 AI6.1 AI6.2. Desarrollar e implementar un proceso para registrar, evaluar y dar prioridad en forma consistente a las solicitudes de cambio Evaluar impacto y dar prioridad a los cambios en base a las necesidades del negocio Garantizar que cualquier cambio crítico y de emergencia sigue el proceso aprobado Considerar el impacto de los cambios en la documentación existente Definir y revisar una estrategia de pruebas Establecer ambiente de pruebas y ejecutar pruebas de aceptación finales contra los requerimientos funcionales y operacionales. Roles Dir, RP RP RP RP Dir RR Dir, RP RP RR RA RR RP Dir, RP RP RA RA RA RP RA JD RP JD RP JD JD, RP.

(36) Entrega y soporte Monitoreo y Evaluación. ES1. Administrar servicios de terceros. ES2. Administrar el desempeño y la capacidad. ES3. Garantizar la continuidad del servicio. ES4. Garantizar continuidad de los sistemas. ES5. Administrar la mesa de servicio y los problemas. ES6. Administrar la configuración. ES7. Administración de datos. ME1. Monitorear y evaluar el desempeño de TI. ME2. Garantizar el cumplimiento con requerimientos externos. AI6.3 ES1.1 ES1.2 ES1.3 ES2.1 ES2.2 ES2.3 ES2.4 ES3.1 ES3.2 ES3.3 ES3.4 ES4.1 ES4.2 ES4.3 ES5.1 ES5.2. Recomendar la liberación con base en los criterios de aceptación convenidos Establecer políticas y procedimientos de evaluación de proveedores Identificar, mitigar y valorar los riesgos del proveedor Monitorear la prestación del servicio del proveedor Planeación del desempeño y la capacidad Revisar la capacidad y desempeño actual de los recursos de TI Pronosticar capacidad y desempeño futuros Monitorear y reportar continuamente la disponibilidad, el desempeño y la capacidad Desarrollar y mantener planes de continuidad de TI Identificar recursos críticos de TI Planear la recuperación y reanudación de los servicios de TI Planear almacenamiento de respaldos fuera de las instalaciones Definir y operar un proceso de administración de cuentas Implementar y mantener procedimientos para proteger el flujo de información a través de la red Realizar evaluaciones de vulnerabilidad de manera regular Identificar, detectar, registrar y clasificar incidentes y problemas Definir procedimientos de escalamiento de incidentes. ES5.3. Resolución de problemas. ES6.1 ES6.2 ES7.1 ES7.2 ME1.1 ME1.2 ME1.3 ME2.1. Planear la administración de la configuración Verificar y auditar la información de la configuración Definir, mantener e implementar procedimientos para desechar de forma segura Definir, mantener e implementar procedimientos para la restauración de datos Identificar y recolectar objetivos medibles que apoyen los objetivos del negocio Crear cuadros de mando Evaluar y reportar el desempeño Identificar los requerimientos legales, contractuales, de políticas y regulatorios. ME2.2. Evaluar cumplimiento de las actividades de TI con políticas, estándares y procedimientos de TI. Dir, JD RP, RA RR RP RA RA, RR. RA, RR. RR RA RP, RA RP, RR, RA RA RR, RA. RP RP Dir.

Figure

Figura 1.1. Estrategia para la construcción del marco teórico – referencial de la investigación
Tabla 1.1. Algunas definiciones de gobierno de TI Investigadores Definición de Gobierno de TI Brown and Magill
Figura 1.3: Perspectivas del cuadro de mando de TI y sus relaciones de causa-efecto [Fuente: Borousan
Figura 1.4. Cuadro de mando integral genérico para TI [Fuente: Van Grembergen, 2009].
+7

Referencias

Descargar ahora ( PDF - 88 página - 1.68 MB )

Outline

Procedimiento para el diseño e implementación de un proceso de gestión Procedimiento específico para la construcción de un IT BSC Aplicación del procedimiento: Diseño del CMI TI de DESOFT Evaluación del proceso de Gestión de TI

Documento similar

Propuesta de un diseño de una metodología para la gestión de riesgos en la administración de proyectos de tecnologías de información de la Empresa TECNOCOM Perú

El proceso Realizar el Análisis Cuantitativo de Riesgos debe repetirse después del proceso Planificar la Respuesta a los Riesgos, así como durante el proceso Monitorear y Controlar

Diseño Del Proceso De Gestión De Incidencias En El Área De Tecnologías De La Información: Caso Empresa Alphacredit

Por todo lo anteriormente mencionado, en la empresa AlphaCredit y el área de tecnología de la información se ve la necesidad de crear un proceso de gestión de incidencias donde

Diseño e implementación de un modelo de gestión documental para la serie historias laborales del área de talento humano para la empresa Colgrabar Ltda.

Que el artículo segundo de la Ley 80 de 1989 señala las funciones del Archivo General de la Nación y en su literal b) estipula: “Fijar políticas y establecer los

Diseño de un sistema de gestión de seguridad de la información basado en la NTP-ISO/IEC 27001:2014 para la dirección general de informática y estadística de la Universidad Nacional Daniel Alcides Carrión Pasco Perú

Control : Se deben gestionar los cambios en el suministro de servicios por parte de los proveedores, incluido el mantenimiento y la mejora de las políticas, procedimientos

Procedimiento de implementación de los procesos de gestión de la prestación de los servicios de las Tecnologías de la Información (TI), basado en el estándar COBIT y buenas prácticas ITIL

Gestión de la Continuidad IT Service Continuity Management: Es el Proceso de ITIL que responde por el análisis y administración de riesgos para prevenir, mitigar y recuperarse de

Aplicación del procedimiento de diagnóstico de la gestión de las Tecnologías de la Información en las empresas TECNOAZUCAR y ATI V C

El procedimiento general para el diagnóstico de la gestión de TI, permite analizar la alineación entre procesos de negocio y recursos de TI, analizar la administración de los riesgos

Diseño de un Sistema de Gestión de Seguridad de la Información para la Empresa Designer Software LTDA

Sin embargo, la empresa no cuenta con unas políticas y controles estructurados que proporcionen una protección adecuada para su software y para información tan sensible como es

Diagnóstico de la gestión de las tecnologías de la información en la empresa comercializadora de combustibles CUPET V C

En función de ofrecer respuesta a dicha necesidad en el presente trabajo se aplica un procedimiento para diagnosticar el estado actual de la gestión de TI de una organización,