Madurez del Gobierno de las TI en las universidades españolas en relación a la ISO 38500 Antonio Fernández, Universidad de Almería Eloy Hontoria, Universidad Politécnica de Cartagena José P. Gumbau, Universitat Jaume I
Antonio Fernández Martínez (Universidad de Almería) Doctor en Informática y Profesor Titular de la Universidad de Almería. Director del Servicio de Informática de la Universidad de Almería (1999-2007). Coordinador del informe UNIVERSITIC: Situación de las TIC en las universidades españolas: CRUE (2006-2013). Investigador principal del Proyecto de Arranque del Gobierno de las TI en el SUE (2011-2013) Miembro del Comité AEN/CTN 71/SC 7/GT 25 subgrupo de IT-Governance de AENOR. Academic Advocate de ISACA para la Universidad de Almería desde 2010. 2
Madurez del Gobierno de las TI en las universidades españolas en relación a la ISO 38500 INDICE 1. Proyecto de Arranque de Gobierno de las TI 2. Gobierno de las TI en la universidad tipo 3. Conclusiones 3
Madurez del Gobierno de las TI en las universidades españolas en relación a la ISO 38500 INDICE 1. Proyecto de Arranque de Gobierno de las TI 2. Gobierno de las TI en la universidad tipo 3. Conclusiones 4
1. Proyecto de Arranque de Gobierno de las TI (PAGTI) 5
1. Proyecto de Arranque de Gobierno de las TI (PAGTI) 6
1. Proyecto de Arranque de Gobierno de las TI (PAGTI) 7
1. Proyecto de Arranque de Gobierno de las TI (PAGTI) CARACTERISTICAS MEDIA PROYECTO DE ARRANQUE GTI 8
1. Proyecto de Arranque de Gobierno de las TI (PAGTI) Fases 9
2. Responsabilidad Implicar al Equipo de Gobierno en el PAGTI MEDIA PAGTI COMPOSICIÓN DEL CGTI 10
1. Proyecto de Arranque de Gobierno de las TI (PAGTI) 11
1. Proyecto de Arranque de Gobierno de las TI (PAGTI) 12
Madurez del Gobierno de las TI en las universidades españolas en relación a la ISO 38500 INDICE 1. Proyecto de Arranque de Gobierno de las TI 2. Gobierno de las TI en la universidad tipo 3. Conclusiones 13
2. Gobierno de las TI en la universidad tipo Cómo es el gobierno TI en la universidad tipo? Qué elementos de GTI presenta la universidad tipo? Qué mejores prácticas relacionadas con los principios de GTI satisface la universidad actualmente? Qué objetivos de mejora ha establecido? Qué acciones de mejora va a implementar para alcanzar sus objetivos? 14
Responsabilidad 15
Responsabilidad Mejores Prácticas de GTI satisfechas Relacionadas con el Equipo de Gobierno (EG) EG reconoce la importancia del Gobierno Corporativo de las TI (GCTI) EG incorpora asuntos de GCTI en su agenda EG delega bastantes decisiones de GCTI a otros niveles de decisión EG no ha establecido un modelo de GCTI concreto como referencia 16
Responsabilidad Mejores Prácticas de GTI satisfechas Relacionadas con el CIO EG ha designado a un CIO que forma parte del EG La responsabilidad del CIO es la de gestionar las TI y colaborar en su gobierno El CIO no ha sido seleccionado por sus capacidades directivas sino por su capacidad y/o experiencia tecnológica. El CIO no participa en la planifiación estrategia de la universidad 17
Responsabilidad Mejores Prácticas de GTI satisfechas Comités de Gobierno de las TI EG ha puesto en marcha varios comités dedicados a la gestión de las TI EG no ha constituido los comites relacionados con el GCTI: Comité de Estrategia de las TI y Comité de Dirección de las TI 18
Responsabilidad Mejores Prácticas de GTI satisfechas Resto de responsabilidades relacionadas con el GCTI EG no ha distribuido las responsabilidades relacionadas con el GCTI 19
Responsabilidad Acciones de mejora EG debe asumir la responsabilidad de la toma de decisiones y no delegarlas en expertos del área TI. EG debe seleccionar un modelo de gobierno TI y planificar su implantación. EG debe identificar las responsabilidades relacionadas con la estrategia y el GCTI y definir un procedimiento para asignarlos a individuos y comités. EG debe crear el Comité de Estratégia de las TI y el Comité de Dirección de las TI. CIO debe asumir el máximo protagonismo en los procesos de gobernanza de las TI, empezando por liderar los comités mencionados. 20
Responsabilidad Diseño responsabilidades relacionadas con GCTI 21
Responsabilidad Diseño responsabilidades relacionadas con GCTI EG decidirá en casi todos los ámbitos, a excepción de la estrategia de infraestructuras y aplicaciones informáticas, donde compartiría dicha responsabilidad con el CIO y/o el Director del Área de TI CIO debería aportar la información necesaria para la toma de decisiones del EG, salvo en relación a las aplicaciones que necesita la universidad donde la responsabilidad sería compartida con los responsables de las diferentes areas funcionales de la universidad 22
Estrategia 23
Estrategia Actitud (no estrategia) ante las TI Actitud en relación a TI Tipo de universidad Estilo de Dirección TI Ofensiva, puntera e innovadora! 24
Estrategia Mejores Prácticas de GTI satisfechas Dispone de Plan Estratégico Institucional que incluye una estrategia TI para asegurar la alineación entre ambas (al menos 2 de cada 3 universidades) Dispone de un Plan de Renovación de Infraestructuras TI (el 75% de las universidades) Las renovaciones son planificadas con antelación y se incorporan en los presupuestos del año siguiente Se evaluan tecnologías emergentes para ser implantadas en la universidad (mitad de universidades) 25
Estrategia Acciones de mejora EG debe asegurarse que las estrategias globales y las estrategias de TI permanezcan alineadas en todo momento EG debe asegurar el buen funcionamiento del Comité de Estratégia de las TI para que le ayude en el diseño de las estrategias CIO debe participar en el diseño de las estrategia global EG debe diseñar y difundir un conjunto de políticas de TI, alineadas con la estrategia global, que se conviertan en un referente para aquellos que tienen que tomar decisiones relacionadas con las TI 26
Adquisición 27
Adquisición Mejores Prácticas de GTI satisfechas Dispone de procedimientos para conocer cual es su gasto en TI actual y cuales son los recursos TI Ha diseñado un programa plurianual de inversión TI (2 de cada 3 universidades) Centro de gastos único y centralizado que le permite al EG controlar las principales inversiones centralizadas Optimiza sus inversiones mediante consorcio de compras, negociación de descuentos, compras de ofertas, etc. 28
Adquisición Mejores Prácticas de GTI satisfechas Establece SLAs con proveedores (en 7 de cada 8 universidades) No dispone de una Cartera de Proyectos formal Evalua si los nuevos proyectos de TI se integran con las tecnologias actuales o son adaptables en el futuro EG prioriza y aprueba los nuevos proyectos TI, dedicando la mayor parte de los recursos a los proyectos más importantes (mitad de las universidades) El EG apoya el intercambio de experiencias y de cooperación con otras universidades 29
Adquisición Acciones de mejora EG debe poner en marcha una Cartera de Proyectos TI para ayudar al EG a decidir sobre su prioridad EG debe establecer políticas que orienten sobre las adquisiciones y sobre los diferentes tipos de relación con los proveedores EG debe establecer un procedimiento para adquisiciones de TI que incluyan el análisis de ofertas en base a objetivos estratégicos 30
Desempeño 31
Desempeño Mejores Prácticas de GTI satisfechas Dedica suficientes recursos para mantener el rendimiento de los servicios basados en TI con un alto grado de satisfacción de los grupos de interés (mitad de las universidades) Dispone de un plan que asegura la continuidad y disponibilidad de los servicios basados en TI Dispone de las medidas de seguridad necesarias para mantener la integridad y la calidad de la información institucional (88% de ellas) 32
Desempeño Acciones de mejora EG debe establecer cuál es la información qué necesita para tomar decisiones EG debe asegurarse de que se analiza periodicamente cuales son los requierimientos de todos los grupos de interes EG debe promover que se mida la satisfacción de los usuarios de los servicios basados en TI 33
Cumplimiento 34
Cumplimiento Mejores Prácticas de GTI satisfechas EG promueve que los responsables de los proyectos y servicios TI tengan en cuenta las leyes y normas externas y las políticas y procedimientos internos relacionados con las TI EG no ha designado formalmente a un responsable de supervisar el cumplimiento normativo No se dispone de un listado de leyes, normas y estándares relacionados con las TI que debe cumplir la universidad 35
Cumplimiento Acciones de mejora EG debe asignar la responsabilidad de controlar que se satisfaga el cumplimiento normativo a una persona o grupo de personas EG debe conocer cuales son todas las leyes y estandares aplicables a la universidad El responsable designado debe presentar al EG un plan de cumplimiento normativo y de implementación de estandares 36
Comportamiento Humano 37
Comportamiento Humano Mejores Prácticas de GTI satisfechas Lleva a cabo la formación de todos los grupos de interes que participan en un nuevo proyecto basado en TI 38
Comportamiento Humano Acciones de mejora EG debe promover que se identifique a todos los grupos de interes y se realicen agrupamientos a la hora de ofrecerles servicios EG debe asegurarse que se realice el análisis de riesgos relacionado con la resistencia al cambio de los grupos de interes y se planifiquen acciones para implicarlos y conseguir su compromiso EG debe conocer cual es la carga de trabajo de sus recursos humanos y cómo los nuevos proyectos pueden incrementarla y velar porque no se les sobrecargue 39
Madurez del Gobierno de las TI en las universidades españolas en relación a la ISO 38500 INDICE 1. Proyecto de Arranque de Gobierno de las TI 2. Gobierno de las TI en la universidad tipo 3. Conclusiones 40
3. Conclusiones La madurez inicial y las buenas prácticas relacionadas con el gobierno de las TI son incipientes Niveles aceptables por ser un proyecto de arranque Las universidades desean mejorar de manera inmediata y permanente Han diseñado acciones de mejora para conseguir durante el próximo año una mayor madurez en su gobierno de las TI Si el gobierno de las TI es suficientemente sólido entonces se alcanzarán los objetivos establecidos inmediatamente El PAGTI se ha convertido en un referente para el resto de las universidades 41
Madurez del Gobierno de las TI en las universidades españolas en relación a la ISO 38500 Muchas gracias! Contact details: Antonio Fernández Martínez Email: afm@ual.es Skype: afm.ual 42