Comercio electrónico. Un caso práctico de Gobierno de las TIC Enrique Manuel Gallego García a, Javier de Pedro Carracedo b a Consultor senior de Seguridad de la Información, Departamento de Seguridad Corporativa de Sistemas de Información de Telefónica S.A., Ronda de la Comunicación s/n, Madrid, España b Departamento de Automática, Edificio Politécnico, Universidad de Alcalá, Campus universitario, N-II, km. 33,6, 28871, Alcalá de Henares, Madrid, España Resumen Hoy en día resulta indiscutible el impacto de las Tecnologías de la Información y las Comunicaciones (TIC) en la vida cotidiana. El fenómeno de la globalización, impulsado en parte por las TIC, ha propiciado nuevos esquemas conceptuales de actividad empresarial que, si bien pronostican perspectivas económicas muy favorables, adolecen de una complejidad organizativa sin precedentes. Afortunadamente, el Gobierno de las TIC ha permitido sortear el escollo, definiendo un marco de actuación normalizado en el seno del mundo empresarial. Así, COBIT, ITIL, ISO 27002, e incluso el modelo de madurez propuesto por CMMI, se han convertido recientemente en manuales de supervivencia en el ámbito de las empresas tecnológicas. Por tanto, el propósito de este trabajo comprende una revisión general de las diferentes áreas de trabajo adscritas al Gobierno de las TIC, a la vez que se proporciona un caso práctico (comercio electrónico) en el que se constata cómo la aplicación de estas reglas de conducta empresarial consolidan la sostenibilidad del negocio. Palabras clave: TIC, Gobierno de las TIC, COBIT, ITIL, ISO 27002, CMMI, comercio electrónico. 1. Introducción El final del siglo XX se ha caracterizado por la revolución digital, suscitada por los avances experimentados en materia de Tecnologías de la Información y las Comunicaciones. Su radio de acción no se limita a nuestro quehacer diario o actividades de ocio. Inéditos e innovadores negocios revelan nuevos canales de comunicación entre la industria y los consumidores. Las incipientes perspectivas de negocio, basadas en las TIC, no están exentas de nuevos riesgos que las organizaciones deben asumir y gestionar, de ahí que se establezca un marco de trabajo, destinado al control de los riesgos derivados de las TIC. Una adecuada gestión de los procesos tecnológicos resulta esencial para la supervivencia y Correos electrónicos: enriquemanuel.gallegogarcia@telefonica.com (Enrique Manuel Gallego García), javier.depedro@uah.es (Javier de Pedro Carracedo) Artículo para III Congreso de Computación para el Desarrollo 6 de junio de 2010
el éxito de una compañía. Los nuevos escenarios macroeconómicos insinúan una fuerte dependencia de los procesos productivos de las organizaciones en las TIC, por lo que actualmente las TIC se han convertido en un activo estratégico, vital en la obtención de resultados. De hecho, la inoperancia de las TIC puede llegar a paralizar la actividad natural de una organización, lo que justifica la puesta en escena del Gobierno de las TIC, fiel indicador del éxito que se augura para una propuesta empresarial. El origen del Gobierno de las TIC se remonta a 1992, año en que se publica el informe COSO (Committee of Sponsoring Organizations of the Treadway Comission) [1]. El informe COSO propone un sistema integrado de control interno, esto es, plantea una fórmula estándar con la que las organizaciones pueden evaluar y mejorar sus sistemas de control. Este memorándum supuso un punto de inflexión en la comprensión del control interno, pues estableció un marco de referencia, antes inexistente, en el proceso de institucionalización del control interno. El control interno constituye un proceso, no un fin en sí mismo, en el que participan todos los integrantes de una organización, sin excepción alguna. Su cometido no es otro que brindar apoyo a los diferentes eslabones de la cadena productiva, de forma que se satisfagan los siguientes objetivos: Eficacia y eficiencia en las operaciones. Fidelidad de los informes financieros. Cumplimiento de las leyes y normativas vigentes y aplicables. Con posterioridad al informe COSO, se han difundido diversos informes o manuales de buenas prácticas en materia de Gobierno de las TIC, entre los que cabe destacar: 1992 Cadbury Report (Committee on the Financial Aspects of Corporate Governance). Recopilación de buenas prácticas en la distribución de información entre grupos interesados [2]. 1996 COBIT (Control Objectives for Information and related Technology), auspiciado por ISACA (Information Systems Audit and Control Association), primera edición [3]. 1999 Turnbull Report (Guidance for Directors on the Combined Code). Especial énfasis en el papel que desempeña el Gobierno Corporativo en los comités de auditoría, supervisión de riesgos y control interno. Última revisión data de 2005 [4]. 1999 Principios de Gobierno Corporativo. OCDE (Organización para la Cooperación y el Desarrollo Económicos). Última revisión data de 2004 [5]. 1999 Annual Report (Bank for International Settlements). Políticas y guías, destinadas a la industria financiera, sobre riesgos operativos y de sistemas, así como buenas prácticas en sistemas y TIC [6]. 2000 IT Governance Institute, COBIT (tercera edición), Information Systems Audit and Control Foundation, 2000. 2
2004 Peter Weill y Jeanne Ross, IT Governance: How Top Performers Manage IT Decision Rights for Superior Results, Harvard Business Press, 2004 [7]. 2006 IT Governance Institute, COBIT (cuarta edición), Information Systems Audit and Control Foundation, 2006 [8]. En cualquier caso, los factores clave que precipitaron la implantación del Gobierno de las TIC comprenden: Regulaciones y normativas: legales (LOPD 1, SOX 2 ), estándares (ISO 27001, ISO 20000), certificaciones CMMI 3, etc. Optimización de recursos: reingeniería de procesos TIC, consolidación de recursos, estrategias de externalización. Peticiones del negocio: alineamiento TIC con la estrategia, ciclo de vida de productos y servicios, gestión de la demanda. A raíz de los planteamientos propuestos, el Gobierno de las TIC debe atender las siguientes competencias: Las TIC han de alinearse con la estrategia del negocio. Las TIC han de facilitar que la organización emprenda operaciones que antes no eran posibles. Los diversos servicios y funciones de las TIC han de suministrarse con el máximo valor posible o, en su defecto, de la forma más eficiente posible. Todos los riesgos asociados a las TIC han de definirse y acotarse claramente, de forma que los recursos TIC se conviertan en activos seguros. El presente documento comienza con una panorámica conceptual del Gobierno de las TIC, prestando especial atención a las áreas de trabajo y los modelos de control que rigen su operabilidad, para, una vez descrita la metodología, presentar un caso práctico de Gobierno de las TIC, de aplicación en el comercio electrónico. En este sentido, se puntualizan los procesos TIC que sustentan el negocio de las ventas online. 2. Descripción del Gobierno de las TIC En la última década la literatura técnica ha concentrado sus esfuerzos en la definición de Gobierno de las TIC, con objeto de identificar claramente el rol de las TIC en la actividad empresarial. Desgraciadamente, el empeño inicial se ha visto empañado con dictámenes enrevesados que, lejos de aclarar la finalidad, se pierden en divagaciones técnicas, inaccesibles para un público inexperto. No obstante, Jeanne Ross, del MIT Sloan School of Management, en un alarde de sentido común, plantea la siguiente definición [7]: 1 Ley Orgánica de Protección de Datos 2 Ley Sarbanes OXley 3 Capability Maturity Model Integration 3
El Gobierno de las TIC constituye un marco operativo, capaz de reconocer las responsabilidades que facilitan la adopción de decisiones correctas, de forma que se intensifiquen las conductas deseables en el uso de las TIC en las organizaciones empresariales Del planteamiento arriba expuesto deriva una consecuencia interesante. El Gobierno de las TIC se ha convertido en la única vía factible que respalda la contribución de las áreas de Sistemas de la Información al éxito de las empresas, conforme a una gestión más eficiente de los recursos, minimizándose los riesgos y alineándose las decisiones tecnológicas con los objetivos del negocio. 3. Áreas de trabajo del Gobierno de las TIC La Figura 1 ilustra gráficamente las áreas de trabajo que incorpora el Gobierno de las TIC. Áreas de trabajo Alineamiento estratégico Entrega de valor Medición del rendimiento Gestión de recursos Gestión del riesgo Gobierno de las TIC Figura 1: Áreas de trabajo del Gobierno de las TIC A tenor de la Figura 1, las áreas de trabajo comprenden las siguientes líneas maestras: 1 Alineamiento estratégico Consolidar la conexión e integración del negocio con los planes de las TIC. Definir, mantener y validar las propuestas de valor de las TIC. Alinear las operaciones de las TIC con las de la empresa. Alcanzar una mejor alineación que la competencia. 2 Entrega de valor Rentabilidad del negocio. Análisis coste/beneficio (perspectiva económica). Utilidad del servicio (perspectiva social). 4
3 Gestión del riesgo Concienciación por parte de la alta dirección. Percepción del compromiso con los requisitos. Dotación de transparencia en la gestión de los riesgos más significativos. Integración de las responsabilidades supeditadas a la gestión de los riesgos en la propia organización. Aceptación del riesgo en la organización. 4 Gestión de recursos Organizar óptimamente los recursos TIC, de forma que aquellos servicios que los requieran puedan disponer de ellos en lugar y tiempo concretos. Alinear y priorizar servicios y productos TIC existentes para favorecer las operaciones del negocio. Controlar y monitorizar los servicios TIC, tanto propios como de terceros. 5 Medición del rendimiento Estrategia de implantación. Planificación de los proyectos. Uso de los recursos. Rendimiento de los procesos. Entrega de servicios, conforme al Cuadro de Mando Integral (CMI). Esta herramienta de administración empresarial advierte continuamente cuándo una compañía y sus empleados alcanzan los resultados previstos en la estrategia. Cabe subrayar que, en ausencia de una medición efectiva del rendimiento, las áreas de trabajo del Gobierno de las TIC probablemente fracasen. Por tanto, conviene apelar al modelo de madurez CMMI para continuar mejorando. 4. Modelos de Gobierno de las TIC El Gobierno de las TIC comporta la adopción de modelos de referencia, véase el marco operativo COBIT (cuarta edición) [8], junto a ITIL [9] y ISO 27002 [10], como receptores de buenas prácticas. Las diferentes áreas de trabajo del Gobierno de las TIC se enmarcan en los diversos modelos, de acuerdo a la siguiente designación: Alineamiento estratégico COBIT. Gestión de recursos ITIL. Gestión del riesgo ISO 27002. 5
Entrega de valor: Percepción económica Análisis coste/beneficio. Percepción del cliente final Funcionalidad y garantía del servicio. Medición del rendimiento, conforme a aquellas métricas que actúan de indicadores del grado de penetración del Gobierno de las TIC en la organización. En este sentido, el índice de penetración del Gobierno de las TIC adopta diferentes ratios, según los criterios propuestos en el modelo CMMI [11]. En particular, en el ámbito del Gobierno de las TIC, IT Governance Institute (ITGI) sugiere un modelo genérico, compuesto de 6 niveles (ver Anexo A). 4.1. COBIT Acrónimo de Control Objectives for Information and related Technology. Las Tecnologías de la Información y las Comunicaciones (TIC) precisan de un marco de control específico, debido a los siguientes factores: Creciente dependencia de la información y los sistemas que la distribuyen. Crecientes vulnerabilidades y amenazas. Magnitud y coste de las actuales y futuras inversiones en Sistemas de la Información. Respetar las regulaciones vigentes. Potencial de las tecnologías para cambiar las prácticas de negocio, gestándose nuevas oportunidades, con mínimos costes. Reconocimiento, por parte de muchas organizaciones, de los beneficios potenciales que la tecnología puede reportar. COBIT asegura que las TIC no deparen sorpresas insalvables, en términos de riesgos, dotándolas del valor que se espera de ellas, esto es, coste, tiempo y funcionalidad. Del mismo modo, garantiza que las TIC introduzcan nuevas oportunidades e innovaciones en los procesos, productos y servicios de la organización. Para lograrlo, divide las TIC en 34 procesos, pertenecientes a 4 dominios, asignándoles objetivos de control de alto nivel. En base a requerimientos económicos y necesidades de calidad y seguridad en las organizaciones, delimita 7 criterios de información, especialmente útiles en los planteamientos fundacionales de aquellos negocios basados en las TIC. 4.2. ITIL Acrónimo de Information Technology Infraestructure Library. Comprende un conjunto de buenas prácticas, destinadas a la gestión de servicios TIC, esto es, sugiere un procedimiento de gestión de las TIC, presentes en una organización, incidiendo fundamentalmente en la especificación de las infraestructuras, así como actividades y procesos TIC, dirigidas a la provisión de servicios. 6
Adoptando la definición difundida por la consultora Gartner, ITIL engloba un conjunto de procesos que, coordinados, respaldan la calidad de servicio ofertada, conforme a los niveles de servicio previamente acordados con los clientes. Estos procesos, además, deben superponerse a los tradicionales dominios de gestión, como la gestión de sistemas, la gestión de redes, el desarrollo de sistemas, y muchos otros dominios de procesos complementarios, como la gestión de cambios, la gestión de activos o la gestión de incidencias. Los procesos representan secuencias de actividades interconectadas, con un inicio y un final concisos, es decir, los elementos de entrada deben transformarse en resultados evidentes. Los procesos han de cumplir ciertos requisitos, entre los que se distinguen: Definibles: formalizar, identificar requisitos, actividades, etc. Repetibles: las secuencias de actividades son repetibles. Predecibles: nivel de estabilidad que confirme la obtención de los resultados esperados, siempre que se respeten las secuencias de actividades. En definitiva, la gestión de servicios TIC se traduce en la aproximación sistemática a la planificación, desarrollo, entrega y soporte de los servicios TIC de la empresa. Con otras palabras, contrae el espacio que separa los departamentos de negocio y TIC, instaurándose una asociación mutua desde y para el negocio. 4.3. ISO 27002 Esta normativa comprende un estándar para la Seguridad de la Información. Proporciona recomendaciones de las mejores prácticas, en la gestión de la Seguridad de la Información, a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la Seguridad de la Información. La versión más reciente del estándar incluye doce secciones temáticas (ver Tabla 1). Dentro de cada sección, se especifican los objetivos de los distintos controles a los que debe someterse la Seguridad de la Información. Cada uno de los controles se acompaña, asimismo, de una guía para su implantación. El número total de controles asciende, entre todas las secciones, a 133, aunque cada organización debe sopesar previamente cuántos serán realmente aplicables, según sus propias necesidades. Tabla 1: Secciones temáticas de ISO 27002 Análisis y gestión de riesgos Política de Seguridad Seguridad de RRHH Seguridad física Gestión de activos Organización de la seguridad Comunicaciones y operaciones Control de acceso Compras, desarrollo y mantenimiento de sistemas Gestión de incidentes de seguridad Plan de continuidad del negocio Conformidad legal 7
5. Comercio electrónico. Un caso práctico El comercio electrónico, también conocido como e-commerce (contracción de los términos anglosajones electronic y commerce), consiste en la compra y venta de productos o servicios a través de medios electrónicos, como Internet u otras redes informáticas. Originariamente, el término identificaba cualquier transacción efectuada por medios electrónicos, p. ej., el intercambio electrónico de datos. Sin embargo, con el advenimiento de Internet y la World Wide Web, a mediados de los años 90, tornó su acepción para referirse principalmente a la venta de bienes y servicios a través de Internet, usando como forma de pago un medio electrónico, como la popular tarjeta de crédito. El comercio electrónico (el negocio: ventas online) consta de un portal web, una base de datos, líneas de acceso a Internet, etc. Todos estos componentes pertenecen al campo de las Tecnologías de la Información y las Comunicaciones (TIC). Para que el comercio electrónico esté disponible, con la capacidad suficiente, continuidad en el tiempo, fiable para los clientes que lo utilicen, beneficios que reporta a la empresa, el departamento de ventas debe considerar las TIC como un socio atractivo, pues constituye una plataforma eficaz y eficiente, idónea para incrementar las ventas, objetivo clave del negocio. Por tanto, deben acometerse las siguientes directrices: Optimizar la gestión de las TIC (crear procesos TIC predecibles y graduables). En la definición de estos procesos intervienen las buenas prácticas de ITIL y ISO 27002. Establecer un vínculo entre las TIC y el departamento de ventas (negocio). Por medio del alineamiento con el negocio, las metas TIC deben generar metas de negocio, para que así el negocio simpatice con la organización de las TIC. En la definición del alineamiento con el negocio media el marco de control de COBIT. Justificar los costes, derivados de la implantación del servicio, a la dirección de la empresa. Por lo tanto, debe elaborarse un análisis coste/beneficio, a la vez que se adapta el servicio de comercio electrónico a las necesidades del cliente. Estimar el nivel de madurez de los procesos TIC, para continuar mejorando. En este sentido, se aplica el modelo de madurez CMMI. Los procesos TIC involucrados obedecen a la siguiente relación: Proceso de gestión de la configuración. Proceso de gestión del cambio. Proceso de gestión del despliegue de versiones. Proceso de gestión del nivel de servicio. Proceso de gestión de incidencias. Proceso de gestión de problemas. 8
Proceso de gestión de la continuidad del servicio. Proceso de gestión de la Seguridad de la Información. Atendiendo a las buenas prácticas formuladas en ITIL. 1. Gestión del nivel de servicio. Garantizar que se proporciona un nivel de servicio adecuado a las necesidades del comercio electrónico. Inspeccionar la satisfacción del cliente. Por ejemplo, el servicio de comercio electrónico debe presentar una indisponibilidad del 0,2% anual, lo que implica que, en la práctica, cualquier ventana horaria de cambios y actualizaciones del portal web debe adaptarse a horarios con pocos accesos. Sólo así se garantizaría una disponibilidad en torno al 99,8% anual. 2. Gestión de incidentes. Reducir el tiempo de parada de los sistemas, debido fundamentalmente a caídas. Detectar y solucionar, a la mayor brevedad posible, una anomalía en el sistema. Por ejemplo, la detección anticipada de memoria insuficiente en el sistema que sostiene la plataforma de comercio electrónico. 3. Gestión de problemas. Registrar las causas de las averías, evitándose incidentes repetitivos. Por ejemplo, inventariar la caída del servicio web de comercio electrónico, provocada por una vulnerabilidad del servidor, iniciándose un plan de acción que contrarreste la vulnerabilidad. 4. Gestión de la configuración. Disponer de información actualizada sobre los sistemas y componentes que soportan el servicio de comercio electrónico. Por ejemplo, versiones, licencias, personal técnico que administra los sistemas de comercio electrónico, documentación técnica, etc. 5. Gestión de cambios. Asegurar que los frecuentes cambios, efectuados de forma controlada, no impacten negativamente en el servicio. Por ejemplo, definir las ventanas horarias de menor actividad. 6. Gestión de versiones. Asegurar que las transiciones entre cambios afecten lo mínimo posible a los usuarios. Por ejemplo, la migración a una nueva aplicación en el portal web de comercio electrónico. Entre los procesos TIC vinculados a las buenas prácticas de ISO 27002, sobresalen: 1. Gestión de la Seguridad de la Información. Garantizar la disponibilidad, integridad, confidencialidad y autenticidad de la información en aquellos sistemas que soportan el servicio de comercio electrónico. Además, habrá que velar por el cumplimiento de las leyes y regulaciones que afectan a la información almacenada, en tránsito y en ejecución, en los sistemas de información que conforman el servicio de comercio electrónico (LSSI 4, LOPD, PCI DSS 5, etc.). El cumplimiento de la Ley de Comercio Electrónico (LSSI) y la Ley Orgánica de Protección de Datos Personales (LOPD) obliga a: Inscribir el fichero de datos personales del servicio de comercio electrónico en la Agencia de Protección de datos. 4 Ley de Servicios de la Sociedad de Información 5 Payment Card Industry Data Security Standard 9
Mostrar en el portal web de comercio electrónico, conforme a LSSI, la siguiente información: Denominación social, NIF, domicilio y dirección de correo electrónico del negocio. Códigos de conducta a los que se adhieren. Precios de los productos o servicios ofertados. Nombre de dominio de la página web, inscrito en el Registro Mercantil. 2. Gestión de la continuidad del servicio. Garantizar que todas las instalaciones técnicas, imprescindibles en el comercio electrónico (incluyendo sistemas informáticos, redes, aplicaciones, bases de datos, etc.), funcionen nuevamente, en caso de fallos, en los plazos de tiempo estipulados en la estrategia del negocio. Un ejemplo de continuidad del negocio comprende la incorporación de dos centros de datos replicados, con idénticos componentes TIC. El fallo de un centro de datos sería transparente para el cliente, puesto que automáticamente tomaría el control del servicio el otro centro de datos. Con objeto de clarificar el alineamiento con el negocio, avalado por COBIT, se propone un ejemplo de proceso TIC, asociado a la gestión de cambios, junto a sus metas TIC, y lo que espera el negocio (departamento de ventas) de él: Metas TIC Metas del negocio Responder a los requisitos del negocio, conforme a una estrategia. Definir cómo los requisitos funcionales y de control se traducen a soluciones automatizadas efectivas. Deducir los defectos y el retrabajo en las soluciones y en la prestación del servicio. Garantizar un impacto mínimo en el negocio, en caso de interrupciones o cambios en el servicio TIC. Mantener la integridad de la infraestructura de la información y el procesamiento de datos. Agilizar la respuesta a los requisitos cambiantes (tiempo para comercializar). Ofertar nuevos productos en temporada alta. Automatizar e integrar la cadena de valor empresarial. Mejorar y mantener la funcionalidad del servicio de comercio electrónico. Respetar las leyes y reglamentos vigentes. Evaluar el grado de disponibilidd del servicio de comercio electrónico. Recabar información confiable y útil para la toma de decisiones estratégicas. La rentabilidad financiera del proyecto de implantación de un servicio de comercio electrónico se ampara en el análisis coste/beneficio. Su objetivo no es otro que estimar los costes en los que incurre el servicio de comercio electrónico, estableciéndose una comparativa entre la previsión de costes y los beneficios previstos. A continuación se detalla un ejemplo aclaratorio. 10
Costes Beneficios Adquisición del mantenimiento de hardware y software. Gastos de comunicaciones. Costes de desarrollo del sistema. Gastos de consultoría. Costes de publicidad. Emisoras de radio locales, televisión local y prensa escrita. Costes totales: 200.000 d. Incremento de ventas, respecto al canal presencial, del 2% el primer año (2010), un 4% el segundo año (2011); en el tercer año (2012) ascendería a un 6% (más de 250.000 d). A tenor de las cifras, en tres años no sólo se recupera la inversión inicial (200.000 d), sino que se obtienen beneficios. En años sucesivos deberían obtenerse unos beneficios en torno al 10%, respecto al canal presencial. Por supuesto, la viabilidad económica del proyecto empresarial se ve condicionada por la percepción del cliente. Para cuantificar el interés del cliente, se introducen dos parámetros, la funcionalidad (utilidad) del servicio y la garantía del efecto positivo que la funcionalidad proyecta. El valor real del servicio es una combinación de ambos factores, propiedad característica de la buenas prácticas de ITIL. Por último, la medición del rendimiento de los procesos TIC comporta la aplicación de varias métricas, que determinan el nivel de madurez de los procesos. A continuación se introducen las métricas consideradas: 1 Área de alineamiento con el negocio (COBIT) Time to market: tiempo que transcurre desde que se manifiesta una propuesta de negocio hasta que ésta se introduce, en este caso, en el comercio electrónico, como valor añadido al servicio inicial ofertado (desde que se registra la petición hasta su puesta en producción). Puntuación, de 0 a 5. Rendimiento real 2. Reducción inesperada de ventas, por falta de disponibilidad del servicio de comercio electrónico. Puntuación, de 0 a 5. Rendimiento real 2. 2 Área de entrega de valor (análisis coste/beneficio y percepción del cliente) Aumento del coste total del año anterior respecto al actual. Puntuación, de 0 a 5. Rendimiento real 4. Porcentaje de clientes satisfechos por el servicio brindado, respecto al total. Puntuación, de 0 a 5. Rendimiento real 4. 3 Área de gestión de recursos (ITIL) Número de incidencias resueltas en menos de 24 horas. Puntuación, de 0 a 5. Rendimiento real 3. 11
Satisfacción de los SLA (Service Level Agreement) por parte del cliente. Puntuación, de 0 a 5. Rendimiento real 3. 4 Área de gestión del riesgo (ISO 27002) Porcentaje de sanciones por incumplimiento legal del comercio electrónico. Puntuación, de 0 a 5. Rendimiento real 3. Satisfacción en la resolución de incidencias de seguridad. Puntuación, de 0 a 5. Rendimiento real 3. A partir de los valores suministrados, resulta evidente ponderar el nivel de madurez del caso práctico de servicio de comercio electrónico. De esta manera, se alcanza, en media, un índice de 3 en las áreas de Gobierno de las TIC. En este sentido, el nivel de madurez consolida un proceso definido, dado que se ha perfilado un marco organizativo y de procesos en el ámbito de la gestión de las actividades TIC. La Figura 2 pone de manifiesto el nivel de madurez de las cuatro áreas de Gobierno de las TIC. Gestión del riesgo Alineamiento estratégico 5 4 3 2 1 0 Entrega de valor Comercio electrónico Gestión de recursos Figura 2: Modelo de madurez del Gobierno de las TIC Consecuentemente, es preciso persistir en la mejora constante del nivel de madurez del Gobierno de las TIC, para escalar un peldaño más y así alcanzar el nivel 4, proceso gestionado y medible. Si se maximiza el valor de las TIC y la gestión de los riesgos derivados, la dirección de la empresa intensificará la confianza depositada en las TIC, auténtico revulsivo en las estrategias de negocio corporativas. 6. Conclusiones El presente documento revela las verdaderas atribuciones que pueden encomendarse a las TIC en el ámbito empresarial. Sin embargo, los modelos de integración de las nuevas tecnologías en las estrategias de negocio aún se encuentran, en general, en una fase inicial. Se prevé un camino largo, pero no por ello menos interesante. En cualquier caso, los resultados de este trabajo dejan entrever ciertas peculiaridades o conductas 12
empresariales, que se vienen manifestando, por influjo de las TIC, en los últimos años. De estos antecedentes pueden extraerse las siguientes consideraciones finales: ❶ El Gobierno de las TIC no es una ciencia exacta. Requiere disciplina y compromiso. La implantación de un Gobierno de las TIC aconseja: Efectuar un análisis del nivel de madurez de los procesos TIC reinantes en la empresa considerada. Crear un grupo de trabajo, dedicado exclusivamente al Gobierno de las TIC. Definir una estrategia de Gobierno de las TIC, esto es, programar y ejecutar proyectos en las diferentes áreas de Gobierno de las TIC. Definir un plan de formación y certificación en Gobierno de las TIC, como CGEIT (Certified in the Governance of Enterprise IT), avalado por ISACA. ❷ El Gobierno de las TIC debe adaptarse a las estructuras, estrategias y cultura de la organización, es decir, no es lo mismo el comercio electrónico que una gran corporación financiera. ❸ El Gobierno de las TIC reivindica el compromiso de los ejecutivos de la organización. Como cualquier otra metodología, se precisa del apoyo de la alta dirección para reforzar la implantación del Gobierno de las TIC. ❹ El Gobierno de las TIC admite la revisión de los marcos existentes (ITIL, CO- BIT, CMMI, etc.), esto es, incorporar los modelos de control ya implantados a las diferentes áreas de Gobierno de las TIC. ❺ El Gobierno de las TIC reclama la inclusión de los procesos TIC más importantes en el Cuadro de Mando Integral (CMI), de forma que las áreas de trabajo del Gobierno de las TIC participen del plan estratégico del Gobierno Corporativo. Para finalizar, es menester resaltar la dificultad que entraña la implantación del Gobierno de las TIC cuando el CIO (Chief Information Officer), también denominado director de Tecnologías de la Información, no forma parte de la dirección ejecutiva. Si no se proponen medidas tecnológicas (a todas luces, aptas para el negocio) desde la alta dirección, las TIC no se considerarán socias del negocio y, por tanto, resultará prácticamente imposible lograr un nivel de madurez lo suficientemente elevado. 13
Referencias [1] Committee of Sponsoring Organizations of the Treadway Comission. [Website] http://www.coso.org/ [2] Cadbury Report (Committee on the Financial Aspects of Corporate Governance). 1992. [Online available] http://www.ecgi.org/codes/documents/cadbury.pdf [3] Information Systems Audit and Control Association. [Website] http://www.isaca.org/ [4] Turnbull Report (Guidance for Directors on the Combined Code). 2005. [Online available] http://www.frc.org.uk/documents/pagemanager/frc/... [5] Principios de Gobierno Corporativo. OCDE (Organización para la Cooperación y el Desarrollo Económicos). 2004. [Online available] http://www.oecd.org/dataoecd/47/25/37191543.pdf [6] Annual Report (Bank for International Settlements). 1999. [Online available] http://www.bis.org/publ/ar99e.pdf [7] Weill, P. and Ross, J., IT Governance: How Top Performers Manage IT Decision Rights for Superior Results, Harvard Business Press, 2004. [8] IT Governance Institute, COBIT (cuarta edición), Information Systems Audit and Control Foundation, 2006. [Online available] Clic aquí para la descarga de COBIT 4.1 en español [9] Bon, J. V., Fundamentos de la gestión de servicios de TI basada en ITIL V3, Van Haren Publishing, 2007. [10] Calder, A., Information Security Based on ISO 27001/ISO 27002. A Management Guide, Van Haren Publishing, 2009. [11] Integración de Modelos de Madurez de Capacidades (CMMI), desarrollado por el Instituto de Ingeniería de Software (SEI), perteneciente a la Carnegie Mellon University (USA). [Website] http://www.sei.cmu.edu/cmmi/ 14
A. Niveles de madurez del Gobierno de las TIC CMMI (Capability Maturity Model Integration) constituye un modelo de referencia que, a diferencia de otros modelos, se fundamenta en prácticas acomodables a cualquier dominio de producción, concediendo un enfoque global e integrado de la organización. Su propósito no es otro que alcanzar los objetivos del negocio. De esta forma, CMMI permite a empresas complejas, compuestas de varias áreas de negocio, instaurar de una manera sencilla un sistema de salvaguarda de la calidad. El Software Engineering Institute (SEI), adscrito a la Carnegie Mellon University, en USA, creador del modelo CMMI y de la mayoría de sus predecesores, ha elaborado sus modelos bajo la premisa de que la calidad de un producto o servicio es altamente dependiente de los procesos que los producen y mantienen. Por ello, la mejora continua de los procesos debiera incrementar paulatinamente el nivel de capacidad y madurez de una organización, conforme a los niveles de la Tabla 2. Tabla 2: Índices de penetración del Gobierno de las TIC 0 [inexistente] 1 [inicial/ad hoc] 2 [repetible, pero intuitivo] 3 [proceso definido] 4 [proceso gestionado y medible] 5 [proceso optimizado] Gobierno de las TIC inexistente. Ausencia total de procesos TIC Se reconoce la necesidad de atender cuestiones relacionadas con el Gobierno de las TIC, si bien no se advierten procesos estandarizados. Subordinación a la iniciativa y experiencia del equipo de gestión Se observan prácticas regulares de Gobierno de las TIC, como reuniones de revisión, creación de informes de rendimiento, etc., con la participación voluntaria de stakeholders del negocio. No obstante, se carece de comunicación formal entre procedimientos, depositándose la responsabilidad en personas Se especifica un marco organizativo dirigido a la gestión de actividades TIC. Se institucionalizan las prácticas exitosas, si bien las técnicas empleadas resultan aún insuficientes Se implantan políticas de mejora de los procesos TIC. La dirección recibe los resultados en forma de cuadro de mando. Se trabaja conjuntamente en el proceso de maximización del valor de las TIC y la gestión de riesgos asociados a las TIC Se despliegan prácticas de Gobierno de las TIC mediante aproximaciones sofisticadas, en base a técnicas efectivas. Se manifiesta una verdadera transparencia en la estrategia de las TIC. Los procesos TIC evolucionan positivamente, incluyéndose benchmarking externo y auditorías independientes que confieran confianza a la dirección 15