El gobierno requiere de prácticas generalmente aplicables y aceptadas de control en las TIC para medir en forma comparativa tanto su ambiente de TIC existente, como su ambiente planeado. Es por ello que se puede considerar la metodología que se detalla a continuación como una herramienta que permite salvar la brecha existente entre los requerimientos de control, los aspectos técnicos y el riesgo del negocio orientado siempre a la Tecnología de la Información.
El presente programa de gestión apunta a resolver problemas centrales para la gestión y el gobierno de la UNSa. Se plantea una estructura conceptual tendiente a gestionar las Tecnologías de la Información y Comunicaciones en la Universidad.
Utilizaremos las herramientas COBIT que constituyen un modelo para la gestión (gobierno) de las TIC . De la misma forma que las prácticas de la programación extrema (XP), el modelo centra su accionar en los controles, auditorías y test. Conociendo lo que se va a testear, se gestiona, realiza, planifica, diseña y especifica. Su uso ha sido sugerido por especialistas de la Auditoría General de la Nación, organismo máximo de control del Estado, dependiente del Parlamento. El hecho que finalmente seremos auditados usando esta herramienta no es un dato menor a la hora de elegirla como herramienta interna.
Podemos cambiar la forma de gestionar la Universidad cumpliendo nuestros objetivos y superando los problemas detectados por CONEAU.
COBIT:
ha sido desarrollado como un estándar generalmente aceptado y aplicable a las buenas prácticas de seguridad y control en TIC.
ayuda a salvar las brechas existentes entre riesgos de negocio, necesidades de control y aspectos técnicos. Proporciona “prácticas sanas” a través de un Marco Referencial de dominios y procesos y presenta actividades en una estructura manejable y lógica. Las prácticas sanas de COBIT representan el consenso de los expertos.
tiene una premisa simple y práctica: con el fin de proporcionar la información que la organización necesita para alcanzar sus objetivos, señala que los recursos de TIC deben ser administrados por un conjunto de procesos de TIC agrupados en forma natural.
está diseñado no solo para ser utilizado por usuarios y auditores, sino que en forma más importante, esta diseñado para ser utilizado como un Check List detallado para los responsables de cada proceso.
proporciona herramientas al responsable de los procesos que facilitan el cumplimiento de esta tarea.
es, por lo tanto, la herramienta innovadora para el manejo de TIC que ayuda a la gerencia a comprender y administrar los riesgos asociados con TIC.
Con la emisión de este documento ubicamos nuestras actividades actuales en el marco COBIT, y comunicamos el mismo al equipo de gobierno de la universidad, su plantel TIC, y a la comunidad toda, con el objetivo de comenzar la discusión tendiente a implementar una gestión de las TIC moderna, avanzada y racional en al Universidad.
Hemos incorporado la cuestión de las comunicaciones a las tecnologías de la información pues las nuevas capacidades técnicas las han integrado.
En el documento realizamos una breve descripción de COBIT para cada una de sus áreas y avanzamos en las cuestiones concretas para la UNSa.
Si bien se plantea desde lo micro (manejo de información, organización de sistemas, etc) el esquema planteado determina (el medio es el mensaje) el futuro de la institución al modelar el flujo interno de información. Alterar la red nerviosa de un organismo es básicamente redefinirlo.
Hablamos de información dinámica e interactiva donde los contenidos son multidireccionales y no solo tienen efecto en el campo virtual sino que se concretan en acciones y actividades materiales a través de los procesos de gestión.
Se define como la estructura de relaciones y procesos que dirigen y controlan la organización en orden de conseguir sus objetivos institucionales añadiendo valor, balanceando riesgos contra beneficios.
El enfoque del control en TIC se lleva a cabo visualizando la información necesaria para dar soporte a los procesos y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con la TIC que deben ser administrados por procesos de TIC.
El marco referencial conceptual puede ser enfocado desde tres puntos estratégicos:
recursos de TI,
requerimientos institucionales (objetivos) para la información y
procesos de TI.
Estos puntos de vista diferentes permiten al marco referencial ser accedido eficientemente.
Los procesos pueden ser aplicados a diferentes niveles dentro de una organización. Por ejemplo, algunos de estos procesos serán aplicados al nivel institucional, otros al nivel de la función de servicios de información, otros al nivel del responsable de cada proceso.
Por ejemplo, el Rector o los Decanos pueden interesarse en un enfoque de calidad, seguridad o fiduciario (traducido por el marco referencial en siete requerimientos de información específicos). Un Responsable Informático puede desear considerar recursos de TIC por los cuales es responsable. Un Director responsable de algún proceso, especialistas de TIC y usuarios pueden tener un interés en procesos particulares. Los auditores podrán desear enfocar el marco referencial desde un punto de vista de cobertura de control.
Estos tres puntos estratégicos son descritos en el Cubo COBIT que se muestra a continuación:
En el caso de la UNSa también debemos tener en cuenta su estructura organizacional interna. Así distinguimos niveles de gestión: local y global. Teniendo el local responsabilidades especificas y ámbitos de aplicación diversos: 6 Facultades, CIUNSa, Sedes, Iems, Museo, Delgación Buenos Aires, Rectorado Centro, Rectorado Castañares, todos ellos distintos pero equivalentes. El global comprende diversas responsabilidades o funciones: la coordinación informática, el diseño de sistemas comunes, la red central, etc., aplicables a toda la UNSa.
Los recursos pueden explicarse o definirse como se indica a continuación:
Datos: Los elementos de datos en su más amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, gráficos, sonido, etc.. Se empezo a crear los primeros diccionarios de datos, como ser el sistema de lugares, el de organizaciones, personas, bienes, etc..
Aplicaciones: Se entiende como sistemas de aplicación la suma de procedimientos manuales y programados. Se ha comenzado a desarrollar el sistema Mojotoro, utilizando tecnología Ekeko y Software Libre, creando software bajo la GPL
Tecnología: La tecnología cubre hardware, software, sistemas operativos, sistemas de administración de bases de datos, redes, multimedia, etc.
Instalaciones: Recursos para alojar y dar soporte a los sistemas de información. Se cuenta con instalaciones relativamente apropiadas, si bien debiéramos incrementar la organización, comodidad, condiciones de temperatura para los equipos, etc..
Habilidades de la planta TIC: conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de información. Se están organizando charlas de difusión y coordinación todas las semanas.
Habilidades de los usuarios de la comunidad universitaria par adaptarse y usar las herramientas TIC. A partir de la construcción de la red se incremento notablemente la formación de la comunidad universitaria en tecnologías informáticas, tanto de oficina como de Internet, (email).
El dinero o capital no es considerado como un recurso para la clasificación de objetivos de control para TI debido a que puede definirse como la inversión en cualquiera de los recursos mencionados anteriormente y podría causar confusión con los requerimientos de auditoría financiera
También se destaca que si bien COBIT no menciona, en forma específica para todos los casos, la documentación de todos los aspectos “materiales” importantes relacionados con un proceso de TIC particular. Como parte de las buenas prácticas, la documentación es considerada esencial para un buen control y, por lo tanto, la falta de documentación podría ser la causa de revisiones y análisis futuros de controles de compensación en cualquier área específica en revisión.
Otra forma de ver la relación de los recursos de TIC con respecto a la entrega de servicios se puede observar en el siguiente gráfico:
Distintos procesos de control impactan o no en los recursos.
Requisitos de calidad
confiabilidad (fidelidad) de la información: calidad y entrega. Se refiere a la provisión de información apropiada para la administración con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.
eficiencia de las operaciones, costo. Se refiere a la provisión de información a través de la utilización óptima (más productiva y económica) de recursos.
Requisitos fiduciarios
efectividad de las operaciones, confiabilidad de la información. Se refiere a que la información relevante sea pertinente para el proceso, así como a que su entrega sea oportuna,correcta, consistente y de manera utilizable.
cumplimiento: leyes, regulaciones y acuerdos, muchas veces externos. Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios está sujeto, por ejemplo, criterios de negocio impuestos externamente.
Requisitos de seguridad
confidencialidad: Se refiere a la protección de información sensible contra divulgación no autorizada.
integridad: precisión y suficiencia. Se refiere a la precisión y suficiencia de la información, así como a su validez de acuerdo con los valores y expectativas del negocio.
disponibilidad de la información. Se refiere a la disponibilidad de la información cuando ésta es requerida por el proceso de negocio ahora y en el futuro. También se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas.
El cumplimiento de estos requisitos asegura una INSTITUCION TRANSPARENTE
Cada uno de estos criterios impacta en cada proceso en forma primaria o secundaria
Según el grado de afectación al proceso se los puede clasificar:
Primario es el grado al cual el objetivo de control definido impacta directamente el requerimiento de información de interés.
Secundario es el grado al cual el objetivo de control definido satisface únicamente de forma indirecta o en menor medida el requerimiento de información de interés.
Blanco (vacío) podría aplicarse; sin embargo, los requerimientos son satisfechos más apropiadamente por otro criterio en este proceso y/o por otro proceso.
``si bien existen acciones que expresan líneas de acción y su consecuente expresión en proyectos y programas, falta el hilo conductor que podría surgir de una planificación que formule objetivos comunes y desarrolle en forma integrada las distintas vías de concreción''.
``... no tiene conformado un mecanismo específico para la planificación ni un sistema articulado con las otras unidades que englobe las políticas, enlace los diagnósticos y vincule las estrategias en la universidad como un todo. Por su parte, la elaboración presupuestaria no se realiza en función de planes estratégicos o prioridades.''
Informe CONEAU
Cada actividad puede evaluarse y ser ubicada en un determinado nivel de madurez.
Características de cada nivel:
0. No hay proceso reconocible, la institución ni siquiera reconoce la cuestión.
1. La institución reconoce el problema, hay enfoques ad-hoc para el caso por caso, no hay enfoque global coordinado, plantel desorganizado
2. Los procesos similares se llevan en forma similar por diferentes personas con la misma tarea. No hay comunicación o entrenamiento formal, las responsabilidades quedan a cargo de cada individuo. Se depende del grado de conocimiento de cada individuo.
3. Los procesos están documentados y comunicados mediante entrenamiento. Sin embargo queda a cargo de cada individuo el seguir los procesos. Los procedimientos no son sofisticados pero las practicas están formalizadas.
4. Se puede medir y monitorear el cumplimiento de los procesos y se toman acciones cuando hay desviaciones. Los procesos están bajo constante mejora. Se usan herramientas automatizadas en forma fragmentaria
5. Los procesos están en el nivel d mejor practica. Se usa la tecnología para automatizar el flujo d trabajo, se tiene herramientas para mejorar la calidad y la eficiencia, la organización se adapta rápidamente.
Con más detalle:
|
|
Proceso |
Reconoci-miento |
Practicas |
Herra-mientas |
Adecua-ción |
Expe-riencia |
|---|---|---|---|---|---|---|
|
0 |
No existe |
|
|
|
|
|
|
1 |
Inicial |
Si |
Ad-hoc |
|
|
|
|
2 |
Repeti-ble |
Conciente |
Similares, procesos intuitivos |
Aparecen comunes |
Monitoreo inconsis-tente en cuestiones aisladas |
|
|
3 |
Definible |
Comprende necesidad de actuar |
Definidas, estandariza-das , documentadas y se comparten |
Estandarizadas, practicas comunes son usadas y controladas |
Análisis de causas intuitivo. |
Especia-listas involu-crados en los procesos |
|
4 |
Adminis-trado |
Comprende requerimien-tos |
Se asignan responsabilidades , los procesos se completan |
Se usan técnicas de medición. Uso táctico y limitado de la tecnología |
Tablero de mando en algunas áreas, análisis de causas estanda-rizado. |
Expertos internos en todas las áreas |
|
5 |
Optimi-zado |
Compren-sión a largo plazo |
Mejores practicas |
Técnicas sofisticas, uso extensivo de la tecnología |
Tablero de mando global, se actúa sobre excepciones se aplica siempre análisis de causas |
Lideres externos para la guía |
Contrastar:
Estado actual
Estándar Internacional
Mejor practicas
Estrategia Institucional
Análisis del gap:
Que proyectos son necesarios para pasar de un nivel a otro de madurez. Para cada objetivo de control se puede evaluar la relación riesgo/beneficio y el impacto.
Conjunto de indicadores cuyo seguimiento periódico permite conocer el estado de la organización según un modelo determinado.
Global (integral)
Estratégico de TIC (largo plazo)
Desarrollo de TIC (resultado de las actividades)
Operacional de TIC (diario, decisiones del día a día)
Se debe tener en cuenta, el período cubierto por cada dato, la forma de desagregarlo en los ámbitos, la frecuencia de actualización, la referencia o base histórica, los niveles de alarma, y la presentación gráfica.
Tareas en la UNSa: determinar los indicadores relevantes, organizar el sistema de recogida de información.
Los Objetivos de Control muestran su interrelación con los objetivos institucionales y están definidos con una orientación a los procesos.
definiciones:
Control: las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para garantizar razonablemente que los objetivos institucionales serán alcanzados y que eventos no deseables serán prevenidos o detectados y corregidos.
Objetivo de control en TIC: resultado o propósito que se desea alcanzar implementando procedimientos de control en una actividad de TIC particular
COBIT consta de Objetivos de Control de TIC de alto nivel y de una estructura general para su clasificación y presentación. La teoría subyacente para la clasificación seleccionada se refiere a que existen, en esencia, tres niveles de actividades de TIC al considerar la administración de sus recursos. Comenzando por la base, encontramos las actividades y tareas necesarias para alcanzar un resultado medible. Las actividades cuentan con un concepto de ciclo de vida, mientras que las tareas son consideradas más discretas. El concepto de ciclo de vida cuenta típicamente con requerimientos de control diferentes a los de actividades discretas. Algunos ejemplos de esta categoría son las actividades de desarrollo de sistemas, administración de la configuración y manejo de cambios. La segunda categoría incluye tareas llevadas a cabo como soporte para el planeamiento estratégica de TI, evaluación de riesgos, planeamiento de la calidad, administración de la capacidad y el desempeño. Los procesos se definen entonces en un nivel superior como una serie de actividades o tareas conjuntas con “cortes” naturales (de control). Al nivel más alto, los procesos son agrupados de manera natural en dominios o programas. Su agrupamiento natural es confirmado frecuentemente como dominios de responsabilidad en una estructura organizacional, y está en línea con el ciclo administrativo o ciclo de vida aplicable a los procesos de TIC.
Esta estructura cubre todos los aspectos de información y de la tecnología que la soporta. COBIT identifica 34 Objetivos de Control de alto nivel. El responsable de los procesos podrá asegurar que se proporciona un sistema de control adecuado para el ambiente de tecnología de información.
FCE: Factores críticos de éxito de cada actividad.
(desarrollo y aprendizaje, interno, usuarios, económicos)
KPI: Indicadores globales de objetivos.
KGI: Indicadores de performance.
Gestión de las TIC y sus procesos con el objetivo institucional de añadir valor, balanceando riesgo contra beneficios.
Gestión de las TIC y sus procesos con el objetivo institucional de añadir valor, balanceando riesgo contra beneficios.
FCE
Las gestión de TIC esta integrada en el proceso global de gestión y los comportamiento de los miembros del gobierno de la UNSa.
La gestión se enfoca en los objetivos estratégicos y en la disponibilidad de los recursos y capacidades suficientes para mantener funcionando las demandas de negocio.
Las actividades de gestión están definidas con un propósito claro, documentadas e implementadas, basadas en las necesidades de la UNSa y con una contabilidad no ambigua.
Las practicas de gestión se implementan para incrementar la eficiencia y el uso óptimo de los recursos, incrementando la efectividad del proceso TIC.
Las practicas organizacionales se establecen para permitir un entorno y cultura de control, asegurando riesgos, adhesión a estándares, monitoreo y seguimiento de deficiencias y riesgos.
Hay practicas de control para impedir fallos en los controles internos y deficiencias.
Hay una interoperabilidad de los procesos TIC complejos
La auditoría interna y los auditores externos existen y tienen enfoques y planes de auditoría sobre las TIC , se revisan los resultados y las revisiones por terceras partes.
KPI
Mejora de la eficiencia del costo (costo contra entregas)
Mas cantidad de planes de acción e iniciativas para mejorar los procesos
Mas uso de la infraestructura TIC
Mas satisfacción de la sociedad con la UNSa. y de su comunidad con las TIC
Mas productividad de la planta TIC (más hechos) y moral (encuesta)
Mas conocimiento e información para manejar la UNSa.
Mas vínculos entre la gestión TIC y el global
Mas performance medida por los tableros de mando.
KGI
Mejor performance y manejo de costos
Mas retorno en las inversiones TIC
Mas velocidad de implementación
Mas calidad, innovación y manejo de riesgos
Proceso de gestión estandarizado
Llegar a mas personas y usuarios
Disponer de ancho de banda apropiado, poder de computo y mecanismo de entrega de TIC
Alcanzar requisitos y espectativas de la comunidad dentro del presupuesto y en tiempo
Cumplir las leyes, regulaciones, estandares y contratos
Transparencia en la toma de riesgos adhiriendo al perfil de riesgo institucional
Creación de más canales de entrega de servicios
Cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que las TICs pueden contribuir de la mejor manera al logro de los objetivos institucionales. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas.
Plan estratégico para las TIC
Balance notable y óptimo de las oportunidades de TIC con los requerimientos institucionales, asegurando su real despliegue.
Proceso que produce a intervalos regulares planes a largo plazo traducidos en planes operacionales con objetivos claras y concretas en el corto plazo
Toma en cuenta:
objetivos institucionales y necesidades de TI
inventarios de tecnologías e infraestructura
estudios de factibilidad
evaluación de sistemas existentes
fortalezas y debilidades
cambios organizacionales
FCE:
provee un esquema de prioridades para los objetivos y requerimientos institucionales, y sus cualificadores
contiene una metodología para el desarrollo estratégico de las TIC documentada, que permita el apoyo de la administración y el proceso transparente de toma de decisiones, junto a datos estructurados y validados
establece su posición ante el riesgo, en términos de innovador/conservador, calidad de servicio/costos, tiempos de implementación.
Todas los supuestos del plan han sido desafiados y testeados
Define los procesos, servicios y funciones necesarias para obtener los resultados, son flexibles y modificables, con un proceso transparente de control.
Se realiza un control externo de la estrategia por un tercero para incrementar la objetividad en intervalos regulares.
El planeamiento se expresa en hojas de ruta claras y estrategias de migración.
Se realiza mediante un proceso participativo y de consulta a la comunidad.
KGI:
Meses desde última revisión de capacidades en IT
Meses desde última revisión del plan estratégico
Porcentaje de satisfacción con el proceso de planeamiento estratégico
Demora entre el cambio del plan estratégico y los planes operativos
Índices de participación, basado en tamaño del esfuerzo, relación entre comunidad y planta técnica, y número de participantes clave
Índice de calidad del plan, en términos de esfuerzo de desarrollo, adhesión a un enfoque estructurado y completitud del mismo.
KPI:
Porcentaje del plan alineado con planes operativos con responsabilidades individuales asignadas, encuestas al plantel TIC
Porcentaje de organizaciones que siguen en el plan
Porcentaje de organizaciones que van al día con el plan
Número de proyectos TIC en marcha
Arquitectura de Información
Diccionarios de datos, documentación, sintaxis, reglas de propiedad de los datos.
FCE:
Existe un responsable institucional con nivel y autoridad suficiente, para administrar el modelo de datos institucional.
El modelo de datos esta documentado, comunicado y compilado
El modelo es simple y claro
Representa el funcionamiento institucional y conduce la arquitectura informacional.
La responsabilidad sobre los datos esta asignada y aceptada
Los modelos se mantienen actuales
Se usan repositorios automatizados y son consistentes (entre diccionarios, arquitectura, aplicaciones sintaxis esquemas y seguridad)
Se entienden los requerimientos de información.
KPI:
Porcentaje de presupuesto asignado
Numero de cambios en las aplicaciones para alinearlas con el modelo de datos
Porcentaje de requerimientos de integridad documentados en el esquema de los datos
Número de incidentes causados por inconsistencias en los datos
Número de errores atribuidos al la falta de actualidad de la estructura de datos
tiempo de espera entre cambios al modelo de datos y a las aplicaciones
KGI:
desarrollo más rápido de aplicaciones
tiempo de implementación de sistemas
implementación de confidencialidad definidas
reducción de redundancia de datos
incremento de inter-operatibilidad entre aplicaciones y sistemas
porcentaje del diccionario de datos disponible en forma automatizada a los usuarios.
Dirección Tecnológica
Desarrollo tecnológico, evaluación permanente de la adecuación y evolución de la infraestructura.
FCE:
Se distribuyen a las organizaciones Informes tecnológicos
Cambios tecnológicos son monitoreados pro-activamente para ver desafíos y oportunidades, con responsabilidades claras
Resultados evaluados en áreas superiores y las acciones son acordadas en el plan de infraestructura, en alineación con el plan estratégico
Se tiene un área de investigación, prototipado y testeo de aplicaciones, para ver el valor institucional, restricciones y oportunidades y no solo eficiencia técnica.
Existen hojas de ruta y esquemas de migración para llevar la institución del estado actual al deseados
La dirección tecnológica y los supuesto del planeamiento son revisados independientemente en los tiempos apropiados.
El plan de infraestructura es revisado regularmente.
Se intercambia información y mantienen buenas relaciones con proveedores y terceros para observar el estado del arte y hacer comparaciones.
KGI:
Número de soluciones tecnológicas no alineadas con la estrategia institucional
Porcentaje de tecnologías no alineadas planeadas
Número de plataformas y tecnologías no compatibles
incremento de interoperatibilidad entre sistemas y aplicaciones
Reducción en el esfuerzo de despliegue de aplicaciones
Performance:
presupuesto asignado
Número de meses desde la última revisión de infraestructura
tiempo de espera entre la identificación de nueva tecnología y la decisión de que hacer con ella
KPI:
Porcentaje del presupuesto asignado a la infraestructura TIC e investigación.
Meses desde la última revisión de infraestructura
Satisfacción de autoridades con la identificación temprana y análisis de oportunidades tecnológicas.
Porcentaje de programas de infraestructura tecnológica con sub-planes que especifican estado actual, visión y hojas de ruta de implementación.
Tiempo medio entre la identificación de nuevas tecnologías y la decisión de que hacer con la misma.
Define la Organización TIC, sus relaciones y mecanismos de participación.
Asegura el envio de los servicios TICs apropiados
Permitida por una organización capaz en numero y capacidades con
Roles, consultas, participación, delegación,responsabilidades, puestos, funciones, supervisión, defiunidos y comunicados, alienados con la estrategia institucional y que provee a las autoridades con un control adecuado.
FCE:
La organización comunica sus objetivos y resultados en todos los niveles
IT esta organizada para involucrarse en todos los procesos de decisión, responder a las iniciativas institucionales y enfocarse en las necesidades institucionales.
El modelo organizacional de IT esta alineado con el global de la organizaciones y se adapta rápido a los cambios en el entorno tecnológico
a través de la distribución de responsabilidades , la organización ayuda al crecimiento de sus miembros y a su cooperación
Hay procesos de control y mando claros, con especialización y segregación
las funciones esenciales están identificadas en el modelo organizacional con roles y responsabilidades definidos claramente.
La organización de IT es flexible para adaptarse a riesgos y crisis, se mueve de un modelo jerárquico a uno por equipos cuando hay crisis, dando poder a los indicados cuando es necesario
la organización proporciona las funciones de seguridad, calidad y el control
Administrar la Inversión en TICs
Asegura los fondos y el desembolso de los recursos financieros.
Se establece por un presupuesto de inversiones y operacional, establecido y aprobado por la institución.
Comunicar las directivas y objetivos de las autoridades
Asegura la comprensión del plantel TIC y usuarios de las mismas.
Se asegura mediante la comunicación de las políticas a los usuarios,
los estándares deben ser establecidos para trasladar las opciones estrategicas en relgas prácticas para los usuarios.
Código de ética, directrices,compromiso con la calidad, seguridad y control.
Administrar al plantel TIC
Reclutamiento, promoción, capacitación, entrenamiento, acreditación y evaluación objetiva
Asegura el cumplimiento de normas externas.
Leyes, regulaciones contratos, asistencia legal seguridad, ergonomía, derechos intelectuales, etc..
Identifica y analiza requisitos externos y su impacto en las TIC, y toma medidas apropiadas.
Evaluar riesgos.
Respuesta a los desafíos, reduciendo la complejidad, incrementando objetividad e identificando factores de decisión importantes.
La organización debe involucrarse en la identificación y análisis de impacto de los riesgos
representando funciones multi-disciplinarias y tomando medidas efectivas en el costo para mitigar los riesgos.
Administrar proyectos.
Establecer prioridades y entregar en tiempo y de acuerdo a presupuesto.
La organización debe identificar y priorizar proyectos en linea con el plan operacional y la adopción y aplicación de técnicas de manejo de proyectos para cada uno de los que se tomen.
Administrar calidad.
Alcanzar los requerimientos del usuario.
Se alcanza planeando, implementando y manteniendo estándares de administración de calidad
y sistemas que provean para distintas fases de desarrollo, responsabilidades explícitas y resultados claros.
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Cubre además los cambios y el mantenimiento realizados a sistemas existentes.
Identificar necesidades de automatización
Asegurar una forma eficiente y eficaz de satisfacer los requerimientos de los usuarios
Análisis de alternativas y oportunidades en función de los requerimientos de usuarios.
Identificar y adaptar, o crear software de aplicaciones
Proveer funciones automatizadas para apoyo a los procesos institucionales
Definición de requerimientos operacionales y una implementación en el tiempo con entregas claramente identificadas.
Adquirir y mantener infraestructura tecnológica
Proveer las herramientas adecuadas para apoyo a los procesos institucionales
Adquisición, estandarización, de software, asesoramiento en hardware y rendimiento de software y administración de sistemas consistentes.
Desarrollar y mantener procesos
Asegurar el uso apropiado de las aplicaciones y las soluciones tecnológicas ya puestas en funcionamiento.
Se alcanza mediante el desarrollo de manuales de procedimiento para usuarios y operaciones, requerimientos de servicio y materiales de entrenamiento.
Instalar y acreditar sistemas de información
Verificar que la solución en uso es adecuada al propósito.
Se realiza mediante la realización de un plan formal de instalación, migración, conversión y aceptación.
Administrar cambios
Minimizar la probabilidad de ruptura, alteraciones no autorizadas y errores.
Tener un sistema de manejo que provea análisis, implementación y seguimiento de todos los cambios pedidos e implementados en la infraestructura de TIC.
Se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación
Definición de Niveles
Se debe definir el nivel y calidad de servicio a ofrecer en cada área. Acuerdos que establecen los niveles y calidades.
Administrar desempeño y calidad
Asegurar que la capacidad es la adecuada, se estudia la carga de trabajo y el tamaño de aplicaciones.
Asegurar continuidad
Evitar cortes en los servicios que impidan la normal operación de la organización
Garantizar seguridad
Controles que aseguren que los datos y programas son accedidos por quienes deben.
Identificar y asignar costos.
Existencia de contabilidad de costos suficientemente precisa para determinar la relación costo beneficio de cada servicio.
Educar y capacitar
Asegurar que la planta TIC y los usuarios esta haciendo un uso apropiado de la tecnología, y conocen los riesgos y responsabilidades involucradas.
Asistir y aconsejar a los usuarios
Asegurar que cualquier problema que tengan los usuarios sea apropiadamente resuelto.
Administrar la configuración
Asegurar la identificación y existencia de todos los bienes TIC en su lugar por un programa regular que confirme su existencia y funcionamiento apropiado.
Administrar problemas e incidentes.
Gestionar la prevención de los incidentes, y el análisis de los recurentes, registrar los ocurridos, diagnosticar causas, costos y proponer medidas.
Administrar los datos.
Asegurar que los datos permanezcan completos, precisos, y validos durante suingreso, actualización y almacenamiento.
Administrar las instalaciones auxiliares.
Asegurar un entorno adecuado para los equipos protegiéndolos de peligros naturales y humanos.
Administrar la operación.
Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.
Monitorear los procesos.
FCE:
Hay disponibles informes precisos en tiempo y forma
Los responsables de los procesos entendieron los KGI y KPI
Las medidas de rendimiento en TIC incluyen criterios de aprendizaje económicos, operacionales, de usuarios y organizacionales que aseguran la alineación con los objetivos de la organización y pueden ser conectados con los tableros de mando.
Los objetivos de los procesos están claramente entendidos y comunicados.
Existe un marco para definir e implementar requerimientos de informes de gobierno.
Se establece una base de conocimiento de rendimiento histórico
Evaluar lo adecuado del control interno
FCE:
La administración define claramente cuales componentes deben ser controladas
Se comprenden claramente los controles internos, las responsabilidades internas y su cumplimiento
La función de control interno existe, es competente y tiene autoridad, puede delegar según corresponda.
Existe un marco de control TIC adecuado
Se usa un proceso claro para reportar a tiempo las deficiencias de control
Hay un compromiso de la administración de corregir los defectos encontrados
Riesgo y seguridad están alineados
Existe un proceso interno para asegurar que se comparte información sobre los incidentes y sus soluciones
OCC:
Se planea formar un grupo de auditoría, con docentes y pasantes. En el futuro la función debe quedar en la UAI, mediante un auditor técnicamente competente.
Auditoría independiente
FCE:
Autoridades definen y apoyan un plan de auditoría que provee independencia, responsabilidad y autoridad a la función de auditoría.
Se usa planeamiento basado en riegos para definir las actividades a auditar inicial y ciclicamente.
El planeamiento y realización de las auditorías es pro-activa
Existen herramientas y técnicas de soporte a la auditoría
Se establecen practicas acordadas de auditoría entre la gestión y la auditoría para cerrar recomendaciones y estatus global.
Los auditores asesoran sobre el impacto en la performance de sus recomendaciones incluyendo costos , beneficios y riegos.
Se siguen las practicas generalmente aceptadas de auditoría.
