Caso Práctico Gobierno de TI

Comercio electr´ electronico. o´ nico. Un caso pr´ practico a´ ctico de Gobierno de las TIC Enrique Manuel Gallego Garc´ Garc´ıa ıaa , Javier de Pedro Carracedo b a

Consultor senior de Seguridad de la Informaci on, ´  Departamento de Seguridad Corporativa de Sistemas de  Informaci´  on de Telef´  onica S.A., Ronda de la Comunicaci´ on s/n, Madrid, Espa˜  na b  Departamento de Autom atica, Edificio Polit ecnico, Universidad de Alcala, ´  ´  ´  ´  Campus universitario, N-II, km. 33,6, 28871, Alcal a´  de Henares, Madrid, Espa na ˜ 

Resumen Hoy en d´ıa ıa resulta indiscutible el impacto de las Tecnolog´ıas ıas de la Informaci´on y las Comunicaciones (TIC) en la vida cotidiana. El fen omeno o´ meno de la globalizaci on, o´ n, impulsado en parte por las TIC, ha propiciado nuevos esquemas conceptuales de actividad empresarial que, si bien pronostican perspectivas econ omicas ´ muy favorables, adolecen de una complejidad organizativa organizativa sin precedentes. Afortunadamente, Afortunadamente, el Gobierno de las TIC ha permitido sortear el escollo, definiendo un marco de actuaci´on normalizado en el seno del mundo empresarial. As´ As ´ı, ı, COBIT, ITIL, ISO 27002, e incluso el modelo de madurez propuesto por CMMI, se han convertido recientemente en manuales de supervivencia en el ambito a´ mbito de las empresas tecnol ogicas. o´ gicas. Por tanto, el prop osito o´ sito de este trabajo comprende una revisi on o´ n general de las diferentes areas a´ reas de trabajo adscritas al Gobierno de las TIC, a la vez que se proporciona un caso pr´actico actico (comercio electr´onionico) en el que se constata c omo o´ mo la aplicaci on o´ n de estas reglas de conducta empresarial consolidan la sostenibilidad del negocio. Palabras clave: ´ TIC, Gobierno de las TIC, COBIT, ITIL, ISO 27002, CMMI, comercio electr onico.

1.

Intro Introduc ducci ci´on o´ n

El final del siglo XX se ha caracterizado por la revoluci on o´ n digital, suscitada por los avances experimentados en materia de Tecnolog ´ıas ıas de la Informaci on o´ n y las Comunicaciones. Su radio de acci´on on no se limita a nuestro quehacer diario o actividades de ocio. In´editos editos e innovadores negocios revelan nuevos canales de comunicaci´on entre la industria y los consumidores. Las incipientes perspectivas de negocio, basadas en las TIC, no est an a´ n exentas de nuevos riesgos que las organizaciones deben asumir y gestionar, de ah ´ı que se establezca un marco de trabajo, destinado al control de los riesgos derivados de las TIC. Una adecuada gesti´on on de los procesos tecnol´ogicos ogicos resulta esencial para la supervivencia y

  [email protected] (Enrique Manuel Correos electr onicos: ´  ´  Gallego Garc´ Garc´ıa), ıa),  [email protected] (Javier de Pedro Carracedo)

 Art ´  para III Congreso de Computaci o´ n para el Desarrollo ´ıculo  

6 de junio de 2010

el ´exito de una compan˜ ´ıa. Los nuevos escenarios macroecon o´ micos insinuan ´ una fuerte dependencia de los procesos productivos de las organizaciones en las TIC, por lo que actualmente las TIC se han convertido en un activo estrat e´ gico, vital en la obtenci o´ n de resultados. De hecho, la inoperancia de las TIC puede llegar a paralizar la actividad natural de una organizaci o´ n, lo que justifica la puesta en escena del Gobierno de las TIC, fiel indicador del  ´exito que se augura para una propuesta empresarial. El origen del Gobierno de las TIC se remonta a 1992, a n˜ o en que se publica el informe COSO (Committee of Sponsoring Organizations of the Treadway Comission) [1]. El informe COSO propone un sistema integrado de control interno, esto es, plantea una f o´ rmula est´andar con la que las organizaciones pueden evaluar y mejorar sus sistemas de control. Este memor a´ ndum supuso un punto de inflexio´ n en la comprensio´ n del control interno, pues estableci o´ un marco de referencia, antes inexistente, en el proceso de institucionalizaci o´ n del control interno. El control interno constituye un proceso, no un fin en s´ı mismo, en el que participan todos los integrantes de una organizaci o´ n, sin excepci o´ n alguna. Su cometido no es otro que brindar apoyo a los diferentes eslabones de la cadena productiva, de forma que se satisfagan los siguientes objetivos: Eficacia y eficiencia en las operaciones. Fidelidad de los informes financieros. Cumplimiento de las leyes y normativas vigentes y aplicables. Con posterioridad al informe COSO, se han difundido diversos informes o manuales de buenas pr´acticas en materia de Gobierno de las TIC, entre los que cabe destacar: 1992   Cadbury Report  ( Committee on the Financial Aspects of Corporate Governan´ de informaci o´ n entre ce). Recopilacio´ n de buenas pr´acticas en la distribuci on grupos interesados [2]. 1996 COBIT (Control Objectives for Information and related Technology ), auspiciado por ISACA ( Information Systems Audit and Control Association), primera edici´on [3]. 1999  Turnbull Report  ( Guidance for Directors on the Combined Code ). Especial e´ nfasis en el papel que desempe n˜ a el Gobierno Corporativo en los comit e´ s de au´ ditor´ıa, supervisio´ n de riesgos y control interno. Ultima revisi o´ n data de 2005 [4]. 1999 Principios de Gobierno Corporativo. OCDE (Organizacio´ n para la Cooperaci o´ n ´ y el Desarrollo Econ o´ micos). Ultima revisi o´ n data de 2004 [5]. 1999  Annual Report  ( Bank for International Settlements). Pol´ıticas y gu´ıas, destinadas a la industria financiera, sobre riesgos operativos y de sistemas, as ´ı como buenas pr´acticas en sistemas y TIC [6]. 2000  IT Governance Institute, COBIT (tercera edici o´ n),  Information Systems Audit  and Control Foundation, 2000. 2

2004 Peter Weill y Jeanne Ross,  IT Governance: How Top Performers Manage IT   Decision Rights for Superior Results, Harvard Business Press, 2004 [7]. 2006  IT Governance Institute, COBIT (cuarta edicio´ n), Information Systems Audit and  Control Foundation, 2006 [8]. En cualquier caso, los factores clave que precipitaron la implantaci´on del Gobierno de las TIC comprenden:

Regulaciones y   normativas : legales (LOPD 1 , SOX2 ), est´andares (ISO 27001, ISO 20000), certificaciones CMMI 3 , etc. ´ de recursos : reingenier´ıa de procesos TIC, consolidaci o´ n de reOptimizaci on cursos, estrategias de externalizaci o´ n. Peticiones del negocio : alineamiento TIC con la estrategia, ciclo de vida de productos y servicios, gesti´on de la demanda. A ra´ız de los planteamientos propuestos, el Gobierno de las TIC debe atender las siguientes competencias: Las TIC han de alinearse con la estrategia del negocio. Las TIC han de facilitar que la organizaci o´ n emprenda operaciones que antes no eran posibles. Los diversos servicios y funciones de las TIC han de suministrarse con el m´aximo valor posible o, en su defecto, de la forma m´as eficiente posible. Todos los riesgos asociados a las TIC han de definirse y acotarse claramente, de forma que los recursos TIC se conviertan en activos seguros. El presente documento comienza con una panor a´ mica conceptual del Gobierno de las TIC, prestando especial atenci o´ n a las ´areas de trabajo y los modelos de control que rigen su operabilidad, para, una vez descrita la metodolog´ıa, presentar un caso pr ´actico de Gobierno de las TIC, de aplicaci´on en el comercio electr´onico. En este sentido, se puntualizan los procesos TIC que sustentan el negocio de las ventas  online.

2.

Descripci´on del Gobierno de las TIC

En la u´ ltima d e´ cada la literatura t´ecnica ha concentrado sus esfuerzos en la definici´on de Gobierno de las TIC, con objeto de identificar claramente el rol de las TIC en ˜ la actividad empresarial. Desgraciadamente, el empe n˜ o inicial se ha visto empa nado con dict´amenes enrevesados que, lejos de aclarar la finalidad, se pierden en divagaciones t´ecnicas, inaccesibles para un p u´ blico inexperto. No obstante, Jeanne Ross, del MIT Sloan School of Management, en un alarde de sentido com´un, plantea la siguiente definici´on [7]:

1

Ley Org´anica de Protecci´on de Datos Ley Sarbanes OXley 3 Capability Maturity Model Integration 2

3

 El Gobierno de las TIC constituye un marco operativo, capaz de reconocer las responsabilidades que facilitan la adopci on ´  de decisiones correctas, de forma que se intensifiquen las conductas deseables en el uso de las TIC en las organizaciones empresariales

Del planteamiento arriba expuesto deriva una consecuencia interesante. El Gobierno de las TIC se ha convertido en la ´unica v´ıa factible que respalda la contribuci´on de las a´ reas de Sistemas de la Informaci o´ n al e´ xito de las empresas, conforme a una gestio´ n m a´ s eficiente de los recursos, minimiz a´ ndose los riesgos y aline a´ ndose las decisiones tecnol o´ gicas con los objetivos del negocio.

3.

´ Areas de trabajo del Gobierno de las TIC

La Figura 1 ilustra gr a´ ficamente las  ´areas de trabajo que incorpora el Gobierno de las TIC.

´ Figura 1: Areas de trabajo del Gobierno de las TIC

A tenor de la Figura 1, las ´areas de trabajo comprenden las siguientes l ´ıneas maestras:   Alineamiento

estrat e´ gico

•  Consolidar

la conexi´on e integraci´on del negocio con los planes de las TIC.

•  Definir,

mantener y validar las propuestas de valor de las TIC.

•  Alinear

las operaciones de las TIC con las de la empresa.

•  Alcanzar

  Entrega

una mejor alineaci o´ n que la competencia.

de valor

•   Rentabilidad

´ del negocio. An a´ lisis coste/beneficio (perspectiva econ omi-

ca). •  Utilidad

del servicio (perspectiva social). 4

´ n del riesgo    Gestio • 

Concienciaci´on por parte de la alta direcci´on.

• 

Percepci´on del compromiso con los requisitos.

on •   Dotaci´

de transparencia en la gesti´on de los riesgos m´as significativos.

´n •   Integraci o

de las responsabilidades supeditadas a la gesti o´ n de los riesgos en la propia organizaci´on.

• 

Aceptaci´on del riesgo en la organizaci´on.

´ n de recursos    Gestio •   Organizar

o´ ptimamente los recursos TIC, de forma que aquellos servicios que los requieran puedan disponer de ellos en lugar y tiempo concretos.

•  Alinear

y priorizar servicios y productos TIC existentes para favorecer las operaciones del negocio.

•  Controlar

y monitorizar los servicios TIC, tanto propios como de terceros.

´ n del rendimiento    Medicio •  Estrategia

de implantaci o´ n.

´n •   Planificacio •  Uso

de los proyectos.

de los recursos.

•  Rendimiento

de los procesos.

•   Entrega

de servicios, conforme al Cuadro de Mando Integral (CMI). Esta herramienta de administraci´on empresarial advierte continuamente cu a´ ndo una compan˜ ´ıa y sus empleados alcanzan los resultados previstos en la estrategia.

Cabe subrayar que, en ausencia de una medici´on efectiva del rendimiento, las ´areas de trabajo del Gobierno de las TIC probablemente fracasen. Por tanto, conviene apelar al modelo de madurez CMMI para continuar mejorando.

4.

Modelos de Gobierno de las TIC

El Gobierno de las TIC comporta la adopci o´ n de modelos de referencia, v e´ ase el marco operativo COBIT (cuarta edici o´ n) [8], junto a ITIL [9] y ISO 27002 [10], como receptores de buenas pr a´ cticas. Las diferentes  ´areas de trabajo del Gobierno de las TIC se enmarcan en los diversos modelos, de acuerdo a la siguiente designaci´on: Alineamiento estrat´egico  ⇒  COBIT. Gesti´on de recursos  ⇒  ITIL. Gesti´on del riesgo  ⇒  ISO 27002.

5

Entrega de valor: • 

Percepci´on econ´omica  ⇒  An a´ lisis coste/beneficio.

• 

Percepci´on del cliente final  ⇒  Funcionalidad y garant´ıa del servicio.

Medici o´ n del rendimiento, conforme a aquellas m e´ tricas que act u´ an de indicadores del grado de penetraci o´ n del Gobierno de las TIC en la organizaci o´ n. En este sentido, el ´ındice de penetraci´on del Gobierno de las TIC adopta diferentes ratios, segu´ n los criterios propuestos en el modelo CMMI [ 11]. En particular, en el a´ mbito del Gobierno de las TIC, IT Governance Institute (ITGI) sugiere un modelo gen´erico, compuesto de 6 niveles (ver Anexo  A). 4.1.

COBIT 

Acr´onimo de  Control Objectives for Information and related Technology . Las Tecnolog´ıas de la Informaci o´ n y las Comunicaciones (TIC) precisan de un marco de control espec´ıfico, debido a los siguientes factores: Creciente dependencia de la informaci o´ n y los sistemas que la distribuyen. Crecientes vulnerabilidades y amenazas. Magnitud y coste de las actuales y futuras inversiones en Sistemas de la Informaci o´ n. Respetar las regulaciones vigentes. Potencial de las tecnolog´ıas para cambiar las pr a´ cticas de negocio, gest a´ ndose nuevas oportunidades, con m´ınimos costes. Reconocimiento, por parte de muchas organizaciones, de los beneficios potenciales que la tecnolog´ıa puede reportar. COBIT asegura que las TIC no deparen sorpresas insalvables, en t e´ rminos de riesgos, dot´andolas del valor que se espera de ellas, esto es, coste, tiempo y funcionalidad. Del mismo modo, garantiza que las TIC introduzcan nuevas oportunidades e innovaciones en los procesos, productos y servicios de la organizaci o´ n. Para lograrlo, divide las TIC en 34 procesos, pertenecientes a 4 dominios, asign a´ ndoles objetivos de control de alto nivel. En base a requerimientos econ o´ micos y necesidades de calidad y seguridad en las organizaciones, delimita 7 criterios de informaci´on, especialmente u ´ tiles en los planteamientos fundacionales de aquellos negocios basados en las TIC. 4.2.

ITIL

Acr´onimo de  Information Technology Infraestructure Library. Comprende un con junto de buenas pr´acticas, destinadas a la gesti´on de servicios TIC, esto es, sugiere un procedimiento de gesti o´ n de las TIC, presentes en una organizaci o´ n, incidiendo fundamentalmente en la especificaci o´ n de las infraestructuras, as´ı como actividades y procesos TIC, dirigidas a la provisi o´ n de servicios.

6

Adoptando la definici o´ n difundida por la consultora Gartner, ITIL engloba un con junto de procesos que, coordinados, respaldan la calidad de servicio ofertada, conforme a los niveles de servicio previamente acordados con los clientes. Estos procesos, adem´as, deben superponerse a los tradicionales dominios de gesti´on, como la gesti´on ´ de redes, el desarrollo de sistemas, y muchos otros dominios de sistemas, la gesti on de procesos complementarios, como la gesti o´ n de cambios, la gesti o´ n de activos o la gesti´on de incidencias. Los procesos representan secuencias de actividades interconectadas, con un inicio y un final concisos, es decir, los elementos de entrada deben transformarse en resultados evidentes. Los procesos han de cumplir ciertos requisitos, entre los que se distinguen:

Definibles: formalizar, identificar requisitos, actividades, etc. Repetibles: las secuencias de actividades son repetibles. Predecibles: nivel de estabilidad que confirme la obtenci o´ n de los resultados esperados, siempre que se respeten las secuencias de actividades. En definitiva, la gestio´ n de servicios TIC se traduce en la aproximaci o´ n sistem´atica a la planificaci´on, desarrollo, entrega y soporte de los servicios TIC de la empresa. Con otras palabras, contrae el espacio que separa los departamentos de negocio y TIC, instaur´andose una asociaci o´ n mutua desde y para el negocio. 4.3.

ISO 27002

Esta normativa comprende un est´andar para la Seguridad de la Informaci´on. Proporciona recomendaciones de las mejores pr a´ cticas, en la gesti o´ n de la Seguridad de la Informaci o´ n, a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gesti o´ n de la Seguridad de la Informaci o´ n. La versio´ n m´as reciente del ´ se est´andar incluye doce secciones tem a´ ticas (ver Tabla 1). Dentro de cada seccion, especifican los objetivos de los distintos controles a los que debe someterse la Seguridad de la Informaci o´ n. Cada uno de los controles se acompa n˜ a, asimismo, de una gu´ıa para su implantaci o´ n. El n´umero total de controles asciende, entre todas las secciones, a 133, aunque cada organizaci o´ n debe sopesar previamente cu a´ ntos ser´an realmente aplicables, seg´un sus propias necesidades. Tabla 1: Secciones tem´aticas de ISO 27002

An´alisis y gesti´on de riesgos Seguridad de RRHH Gesti´on de activos Comunicaciones y operaciones Compras, desarrollo y mantenimiento de sistemas Plan de continuidad del negocio

7

Pol´ıtica de Seguridad Seguridad f´ısica   Organizaci´on de la seguridad Control de acceso Gesti´on de incidentes de seguridad Conformidad legal

5.

Comercio electr´onico. Un caso pr a´ ctico

El comercio electr o´ nico, tambi´en conocido como   e-commerce  (contracci o´ n de los t´erminos anglosajones  electronic  y  commerce), consiste en la compra y venta de productos o servicios a trav´es de medios electr´onicos, como Internet u otras redes inform´aticas. Originariamente, el t e´ rmino identificaba cualquier transacci o´ n efectuada ´ por medios electr o´ nicos, p. ej., el intercambio electr onico de datos. Sin embargo, con el advenimiento de Internet y la  World Wide Web, a mediados de los a n˜ os 90, torn´o su acepci´on para referirse principalmente a la venta de bienes y servicios a trav´es de Internet, usando como forma de pago un medio electr´onico, como la popular tarjeta de cr´edito. El comercio electr o´ nico (el negocio: ventas  online) consta de un portal web, una base de datos, l´ıneas de acceso a Internet, etc. Todos estos componentes pertenecen al campo de las Tecnolog´ıas de la Informaci ´on y las Comunicaciones (TIC). Para que el comercio electr´onico est´e disponible, con la capacidad suficiente, continuidad en el tiempo, fiable para los clientes que lo utilicen, beneficios que reporta a la empresa, el departamento de ventas debe considerar las TIC como un socio atractivo, pues constituye una plataforma eficaz y eficiente, id o´ nea para incrementar las ventas, objetivo clave del negocio. Por tanto, deben acometerse las siguientes directrices: Optimizar la gesti´on de las TIC (crear procesos TIC predecibles y graduables). En la definicio´ n de estos procesos intervienen las buenas pr a´ cticas de ITIL y ISO 27002. Establecer un v´ınculo entre las TIC y el departamento de ventas (negocio). Por medio del alineamiento con el negocio, las metas TIC deben generar metas de negocio, para que as´ı el negocio simpatice con la organizaci o´ n de las TIC. En la definici´on del alineamiento con el negocio media el marco de control de COBIT. Justificar los costes, derivados de la implantaci o´ n del servicio, a la direcci o´ n de la empresa. Por lo tanto, debe elaborarse un an a´ lisis coste/beneficio, a la vez que se adapta el servicio de comercio electr o´ nico a las necesidades del cliente. Estimar el nivel de madurez de los procesos TIC, para continuar mejorando. En este sentido, se aplica el modelo de madurez CMMI. Los procesos TIC involucrados obedecen a la siguiente relaci on: ´ Proceso de gestio´ n de la configuraci o´ n. Proceso de gestio´ n del cambio. Proceso de gesti´on del despliegue de versiones. Proceso de gestio´ n del nivel de servicio. Proceso de gestio´ n de incidencias. Proceso de gesti´on de problemas.

8

Proceso de gestio´ n de la continuidad del servicio. Proceso de gestio´ n de la Seguridad de la Informaci o´ n. Atendiendo a las buenas pr a´ cticas formuladas en ITIL. 1.   Gestio´ n del nivel de servicio. Garantizar que se proporciona un nivel de servicio adecuado a las necesidades del comercio electr o´ nico. Inspeccionar la satisfacci o´ n del cliente. Por ejemplo, el servicio de comercio electr´onico debe presentar una indisponibilidad del 0,2% anual, lo que implica que, en la pr´actica, cualquier ventana horaria de cambios y actualizaciones del portal web debe adaptarse a horarios con pocos accesos. S o´ lo as´ı se garantizar´ıa una disponibilidad en torno al 99,8% anual. 2.   Gestio´ n de incidentes . Reducir el tiempo de parada de los sistemas, debido fundamentalmente a ca´ıdas. Detectar y solucionar, a la mayor brevedad posible, una anomal´ıa en el sistema. Por ejemplo, la detecci o´ n anticipada de memoria insufi´ ciente en el sistema que sostiene la plataforma de comercio electr onico. 3.   Gestio´ n de problemas . Registrar las causas de las aver´ıas, evit´andose incidentes repetitivos. Por ejemplo, inventariar la ca ´ıda del servicio web de comercio electr o´ nico, provocada por una vulnerabilidad del servidor, inici a´ ndose un plan de acci´on que contrarreste la vulnerabilidad. ´ actualizada sobre los 4.   Gestio´ n de la configuraci o´ n. Disponer de informaci on ´ sistemas y componentes que soportan el servicio de comercio electr onico. Por ejemplo, versiones, licencias, personal t´ecnico que administra los sistemas de comercio electr onico, ´ documentacion ´ t e´ cnica, etc. 5.   Gestio´ n de cambios. Asegurar que los frecuentes cambios, efectuados de forma controlada, no impacten negativamente en el servicio. Por ejemplo, definir las ventanas horarias de menor actividad. 6.   Gestio´ n de versiones . Asegurar que las transiciones entre cambios afecten lo ´ a una nueva aplicaci o´ n m´ınimo posible a los usuarios. Por ejemplo, la migraci on en el portal web de comercio electr´onico. Entre los procesos TIC vinculados a las buenas pr´acticas de ISO 27002, sobresalen: 1.   Gestio´ n de la Seguridad de la Informaci o´ n. Garantizar la disponibilidad, integridad, confidencialidad y autenticidad de la informaci´on en aquellos sistemas que soportan el servicio de comercio electr o´ nico. Adem´as, habr´a que velar por el cumplimiento de las leyes y regulaciones que afectan a la informaci o´ n almacenada, en tr a´ nsito y en ejecucio´ n, en los sistemas de informaci o´ n que conforman el servicio de comercio electr o´ nico (LSSI4 , LOPD, PCI DSS5 , etc.). El cumplimiento de la Ley de Comercio Electr´onico (LSSI) y la Ley Org´anica de Protecci´on de Datos Personales (LOPD) obliga a: Inscribir el fichero de datos personales del servicio de comercio electr o´ nico en la Agencia de Protecci´on de datos.

4 5

Ley de Servicios de la Sociedad de Informaci´on Payment Card Industry Data Security Standard

9

Mostrar en el portal web de comercio electr onico, ´ conforme a LSSI, la siguiente informaci o´ n: ´ social, NIF, domicilio y direcci on ´ •   Denominacion

de correo electr o´ nico

del negocio. odigos de conducta a los que se adhieren. • C´ •  Precios de los productos o servicios ofertados. ´ gina web, inscrito en el Registro Mercan•  Nombre de dominio de la p a til. 2.   Gestio´ n de la continuidad del servicio . Garantizar que todas las instalaciones t´ecnicas, imprescindibles en el comercio electr o´ nico (incluyendo sistemas inform´aticos, redes, aplicaciones, bases de datos, etc.), funcionen nuevamente, en caso de fallos, en los plazos de tiempo estipulados en la estrategia del negocio. Un ejemplo de continuidad del negocio comprende la incorporaci o´ n de dos centros de datos replicados, con id e´ nticos componentes TIC. El fallo de un centro de datos ser´ıa transparente para el cliente, puesto que autom a´ ticamente tomar´ıa el control del servicio el otro centro de datos. Con objeto de clarificar el alineamiento con el negocio, avalado por COBIT, se propone un ejemplo de proceso TIC, asociado a la gesti´on de cambios, junto a sus metas TIC, y lo que espera el negocio (departamento de ventas) de  ´el: Metas TIC

•  Responder

a los requisitos del negocio, conforme a una estrategia.

•   Definir

c´omo los requisitos funcionales y de control se traducen a soluciones automatizadas efectivas. los defectos y el retrabajo en las soluciones y en la prestaci o´ n del servicio.

•  Deducir

•   Garantizar

un impacto m´ınimo en el negocio, en caso de interrupciones o cambios en el servicio TIC.

•  Mantener

la integridad de la infraestructura de la informaci´on y el procesamiento de datos.

Metas del negocio

•  Agilizar

la respuesta a los requisitos cambiantes (tiempo para comercializar). Ofertar nuevos productos en temporada alta.

•  Automatizar •  Mejorar

y mantener la funcionalidad del servicio de comercio electr o´ nico.

•  Respetar •  Evaluar •   Recabar

e integrar la cadena de valor empresarial.

las leyes y reglamentos vigentes.

el grado de disponibilidd del servicio de comercio electr o´ nico. informaci o´ n confiable y u´ til para la toma de decisiones estrat e´ gi-

cas. La rentabilidad financiera del proyecto de implantaci o´ n de un servicio de comercio electr´onico se ampara en el an a´ lisis coste/beneficio. Su objetivo no es otro que estimar los costes en los que incurre el servicio de comercio electr´onico, estableci´endose una comparativa entre la previsi o´ n de costes y los beneficios previstos. A continuaci o´ n se detalla un ejemplo aclaratorio. 10

Costes

´n •   Adquisici o

del mantenimiento de hardware y software.

•  Gastos

de comunicaciones.

•  Costes

de desarrollo del sistema.

•  Gastos

de consultor´ıa.

•   Costes

de publicidad. Emisoras de radio locales, televisi o´ n local y prensa

escrita.

Costes totales : 200.000 d. Beneficios

•  Incremento

de ventas, respecto al canal presencial, del 2% el primer a n˜ o (2010), un 4% el segundo a n˜ o (2011); en el tercer a n˜ o (2012) ascender´ıa a un 6% (m´as de 250.000  d ). A tenor de las cifras, en tres a nos ˜ no s´olo se recupera la inversi o´ n inicial (200.000  d ), sino que se obtienen beneficios. En a˜nos sucesivos deber´ıan obtenerse unos beneficios en torno al 10 %, respecto al canal presencial.

Por supuesto, la viabilidad econ o´ mica del proyecto empresarial se ve condicionada por la percepcio´ n del cliente. Para cuantificar el inter e´ s del cliente, se introducen dos par´ametros, la  funcionalidad (utilidad) del servicio y la  garant´ıa del efecto positivo que la funcionalidad proyecta. El valor real del servicio es una combinaci o´ n de ambos factores, propiedad caracter´ıstica de la buenas pr´acticas de ITIL. Por ´ultimo, la medici o´ n del rendimiento de los procesos TIC comporta la aplicaci o´ n de varias m´etricas, que determinan el nivel de madurez de los procesos. A continuaci o´ n se introducen las m e´ tricas consideradas: 

´ Area de alineamiento con el negocio  (COBIT) •   Time

to market : tiempo que transcurre desde que se manifiesta una propuesta de negocio hasta que  ´esta se introduce, en este caso, en el comercio electr´onico, como valor a˜nadido al servicio inicial ofertado (desde que se registra la petici o´ n hasta su puesta en producci on). ´ Puntuacio´ n, de 0 a 5. Rendimiento real 2.

•   Reducci´ on

inesperada de ventas, por falta de disponibilidad del servicio de comercio electr o´ nico. Puntuacio´ n, de 0 a 5. Rendimiento real 2.



´ Area de entrega de valor  (an´alisis coste/beneficio y percepci o´ n del cliente) del coste total del a n˜ o anterior respecto al actual. Puntuaci o´ n, de 0 a 5. Rendimiento real 4.

•  Aumento

•



Porcentaje de clientes satisfechos por el servicio brindado, respecto al total. Puntuaci´on, de 0 a 5. Rendimiento real 4.

´ Area de gestio´ n de recursos  (ITIL) •

N´umero de incidencias resueltas en menos de 24 horas. Puntuaci´on, de 0 a 5. Rendimiento real 3. 11

de los SLA (Service Level Agreement ) por parte del cliente. Puntuaci´on, de 0 a 5. Rendimiento real 3.

´n •   Satisfacci o



´ Area de gestio´ n del riesgo  (ISO 27002) •

Porcentaje de sanciones por incumplimiento legal del comercio electr o´ nico. Puntuaci´on, de 0 a 5. Rendimiento real 3.

´n •   Satisfacci o

en la resoluci o´ n de incidencias de seguridad. Puntuaci o´ n, de 0 a 5. Rendimiento real 3.

A partir de los valores suministrados, resulta evidente ponderar el nivel de madurez del caso pr´actico de servicio de comercio electr o´ nico. De esta manera, se alcanza, en media, un ´ındice de 3 en las  ´areas de Gobierno de las TIC. En este sentido, el nivel de madurez consolida un proceso definido, dado que se ha perfilado un marco organizativo y de procesos en el a´ mbito de la gesti o´ n de las actividades TIC. La Figura  2  pone de manifiesto el nivel de madurez de las cuatro ´areas de Gobierno de las TIC.

Figura 2: Modelo de madurez del Gobierno de las TIC

Consecuentemente, es preciso persistir en la mejora constante del nivel de madurez del Gobierno de las TIC, para escalar un pelda n˜ o m a´ s y as´ı alcanzar el nivel 4, proceso gestionado y medible. Si se maximiza el valor de las TIC y la gesti´on de los riesgos derivados, la direcci o´ n de la empresa intensificar a´ la confianza depositada en las TIC, aut´entico revulsivo en las estrategias de negocio corporativas.

6.

Conclusiones

El presente documento revela las verdaderas atribuciones que pueden encomendarse a las TIC en el a´ mbito empresarial. Sin embargo, los modelos de integraci o´ n de las nuevas tecnolog´ıas en las estrategias de negocio a u´ n se encuentran, en general, en una fase inicial. Se prev e´ un camino largo, pero no por ello menos interesante. En cualquier caso, los resultados de este trabajo dejan entrever ciertas peculiaridades o conductas 12

empresariales, que se vienen manifestando, por influjo de las TIC, en los  ´ultimos a n˜ os. De estos antecedentes pueden extraerse las siguientes consideraciones finales:   El

Gobierno de las TIC no es una ciencia exacta. Requiere disciplina y compromiso. La implantaci o´ n de un Gobierno de las TIC aconseja: •  Efectuar

un an´alisis del nivel de madurez de los procesos TIC reinantes en la empresa considerada.

•   Crear

un grupo de trabajo, dedicado exclusivamente al Gobierno de las

TIC. •

Definir una estrategia de Gobierno de las TIC, esto es, programar y ejecutar proyectos en las diferentes ´areas de Gobierno de las TIC.

•  Definir

un plan de formaci´on y certificaci´on en Gobierno de las TIC, como CGEIT (Certified in the Governance of Enterprise IT ), avalado por ISACA.

  El

Gobierno de las TIC debe adaptarse a las estructuras, estrategias y cultura de la organizaci´on, es decir, no es lo mismo el comercio electr´onico que una gran corporaci´on financiera.

   El

Gobierno de las TIC reivindica el compromiso de los ejecutivos de la organizaci´on. Como cualquier otra metodolog´ıa, se precisa del apoyo de la alta direcci´on para reforzar la implantaci o´ n del Gobierno de las TIC.

  El

Gobierno de las TIC admite la revisi´on de los marcos existentes (ITIL, COBIT, CMMI, etc.), esto es, incorporar los modelos de control ya implantados a las diferentes  ´areas de Gobierno de las TIC.



El Gobierno de las TIC reclama la inclusi´o n de los procesos TIC m´as importantes en el Cuadro de Mando Integral (CMI), de forma que las a´ reas de trabajo del Gobierno de las TIC participen del plan estrat e´ gico del Gobierno Corporativo.

Para finalizar, es menester resaltar la dificultad que entra n˜ a la implantaci o´ n del Gobierno de las TIC cuando el CIO ( Chief Information Officer ), tambi´en denominado director de Tecnolog´ıas de la Informaci o´ n, no forma parte de la direcci o´ n ejecutiva. Si no se proponen medidas tecnol´ogicas (a todas luces, aptas para el negocio) desde la alta direcci´on, las TIC no se considerar´an socias del negocio y, por tanto, resultar a´ pr´acticamente imposible lograr un nivel de madurez lo suficientemente elevado.

13

Referencias [1]  Committee of Sponsoring Organizations of the Treadway Comission. [Website]  http://www.coso.org/  [2]  Cadbury Report  ( Committee on the Financial Aspects of Corporate Governance). 1992. [Online available]  http://www.ecgi.org/codes/documents/cadbury.pdf  [3]  Information Systems Audit and Control Association. [Website]  http://www.isaca.org/  [4]  Turnbull Report  ( Guidance for Directors on the Combined Code ). 2005. [Online available] http://www.frc.org.uk/documents/pagemanager/frc/... [5] Principios de Gobierno Corporativo. OCDE (Organizaci´on para la Cooperaci o´ n y el Desarrollo Econ o´ micos). 2004. [Online available] http://www.oecd.org/dataoecd/47/25/37191543.pdf  [6]   Annual Report  ( Bank for International Settlements ). 1999. [Online available] http://www.bis.org/publ/ar99e.pdf  [7] Weill, P. and Ross, J.,  IT Governance: How Top Performers Manage IT Decision  Rights for Superior Results, Harvard Business Press, 2004. [8] IT Governance Institute, COBIT (cuarta edici´on),  Information Systems Audit and  Control Foundation, 2006. [Online available] Clic aqu´ı para la descarga de COBIT 4.1 en espa n˜ ol [9] Bon, J. V., Fundamentos de la gesti´on de servicios de TI basada en ITIL V3, Van Haren Publishing, 2007. [10] Calder, A., Information Security Based on ISO 27001/ISO 27002. A Management  Guide, Van Haren Publishing, 2009. [11] Integraci´on de Modelos de Madurez de Capacidades (CMMI), desarrollado por el Instituto de Ingenier´ıa de Software (SEI), perteneciente a la Carnegie Mellon University (USA). [Website]  http://www.sei.cmu.edu/cmmi/ 

14

A.

Niveles de madurez del Gobierno de las TIC

CMMI (Capability Maturity Model Integration) constituye un modelo de referencia que, a diferencia de otros modelos, se fundamenta en pr´acticas acomodables a cualquier dominio de producci´on, concediendo un enfoque global e integrado de la organizaci´on. Su prop´osito no es otro que alcanzar los objetivos del negocio. De esta forma, CMMI permite a empresas complejas, compuestas de varias  ´areas de negocio, instaurar de una manera sencilla un sistema de salvaguarda de la calidad. El  Software Engineering Institute  (SEI), adscrito a la Carnegie Mellon University, en USA, creador del modelo CMMI y de la mayor´ıa de sus predecesores, ha elaborado sus modelos bajo la premisa de que la calidad de un producto o servicio es altamente dependiente de los procesos que los producen y mantienen. Por ello, la mejora continua de los procesos debiera incrementar paulatinamente el nivel de capacidad y madurez de una organizaci´on, conforme a los niveles de la Tabla  2. Tabla 2:  ´Indices de penetracio´ n del Gobierno de las TIC 0  [inexistente]

Gobierno de las TIC inexistente. Ausencia total de procesos TIC

1  [inicial/ ad hoc]

Se reconoce la necesidad de atender cuestiones relacionadas con el Gobierno de las TIC, si bien no se advierten procesos estandarizados. Subordinaci´on a la iniciativa y experiencia del equipo de gesti´ on

2  [repetible, pero intui-

tivo]

3  [proceso definido]

4  [proceso gestionado

y medible]

5  [proceso optimizado]

Se observan pr´acticas regulares de Gobierno de las TIC, como reuniones de revisio´ n, creaci´on de informes de rendimiento, etc., con la participaci´ on voluntaria de stakeholders del negocio. No obstante, se carece de comunicaci´on formal entre procedimientos, deposit´andose la responsabilidad en personas Se especifica un marco organizativo dirigido a la gesti´on de actividades TIC. Se institucionalizan las pr´acticas exitosas, si bien las t´ecnicas empleadas resultan aun ´ insuficientes Se implantan pol´ıticas de mejora de los procesos TIC. La direcci´o n recibelos resultados en forma de cuadro de mando. Se trabaja conjuntamente en el proceso de maximizaci´on del valor de las TIC y la gesti´on de riesgos asociados a las TIC Se despliegan pr´acticas de Gobierno de las TIC mediante aproximaciones sofisticadas, en base a t´ecnicas efectivas. Se manifiesta una verdadera transparencia en la estrategia de las TIC. Los procesos TIC evolucionan positivamente, incluy´endose benchmarking  externo y auditor´ıas independientes que confieran confianza a la direcci´on

15