La gobernanza de TI es un marco formal que proporciona una estructura para que las organizaciones se aseguren de que las inversiones en TI respalden los objetivos empresariales. La necesidad de prácticas formales de gobierno corporativo y de TI en las organizaciones estadounidenses se vio impulsada por la promulgación de leyes y regulaciones, incluyendo la Ley Gramm-Leach-Bliley (GLBA) y la Ley Sarbanes-Oxley, en los años 1990 y principios de la década de 2000, que resultaron de las consecuencias de varios casos de fraude y engaño corporativo de alto perfil.
Me comuniqué con Paul Calatayud, director de tecnología de FireMon, para que me diera su opinión sobre el gobierno de TI y lo que se requiere para una implementación exitosa. Calatayud lidera el programa de desarrollo corporativo de Firemon y proporciona liderazgo intelectual en cuanto a estrategia de producto, gestión de producto e investigación y desarrollo. También es instructor del Instituto SANS y miembro de consejos asesores para varias empresas relacionadas con la seguridad.
1- ¿Qué es el gobierno de TI?
Esencialmente, el gobierno de TI proporciona una estructura para alinear la estrategia de TI con la estrategia de negocio. Siguiendo un marco formal, las organizaciones pueden producir resultados mensurables hacia el logro de sus estrategias y metas. Un programa formal también tiene en cuenta los intereses de las partes interesadas, así como las necesidades del personal y los procesos que siguen. En general, la gobernanza de TI es una parte integral de la gobernanza global de la empresa.
2- ¿Cuál es la relación entre el gobierno de TI y GRC (gobernanza, riesgo y cumplimiento)?
Según Calatayud, el gobierno de TI y el GRC son prácticamente lo mismo. “Mientras que GRC es el programa padre, lo que determina qué marco de trabajo se utiliza es a menudo la colocación del CISO y el alcance del programa de seguridad. Por ejemplo, cuando un CISO reporta al CIO, el alcance de GRC es a menudo enfocado en TI. Cuando los informes de seguridad se reportan fuera de TI, GRC puede cubrir más riesgos empresariales más allá de TI”.
3- ¿Por qué las organizaciones implementan infraestructuras de gobierno de TI?
Las organizaciones de hoy en día están sujetas a muchas regulaciones que rigen la protección de información confidencial, responsabilidad financiera, retención de datos y recuperación de desastres, entre otras. También están bajo la presión de los accionistas, las partes interesadas y los clientes.
Para asegurar que cumplan con los requisitos internos y externos, muchas organizaciones implementan un programa formal de gobierno de TI que proporciona un marco de mejores prácticas y controles.
4.-¿Qué tipo de organización utiliza el gobierno de TI?
Tanto las organizaciones del sector público como las del sector privado necesitan una forma de garantizar que sus funciones de TI respalden las estrategias y objetivos empresariales. Y un programa formal de gobierno de TI debe estar en el radar de cualquier organización en cualquier industria que necesite cumplir con las regulaciones relacionadas con la responsabilidad financiera y tecnológica. Sin embargo, la implementación de un programa de gobierno de TI integral requiere mucho tiempo y esfuerzo. En los casos en que entidades muy pequeñas puedan practicar sólo métodos esenciales de gobierno de TI, el objetivo de organizaciones más grandes y reguladas debería ser un programa de gobierno de TI completo.
5- ¿Cómo implementa un programa de gobierno de TI?
La forma más fácil es comenzar con un marco de trabajo creado por expertos del sector y utilizado por miles de organizaciones. Muchos marcos de trabajo incluyen guías de implementación para ayudar a las organizaciones a implementar un programa de gobierno de TI con menos golpes de velocidad.
Los marcos más comúnmente utilizados son:
COBIT: Publicado por ISACA, COBIT es un marco integral de “prácticas globalmente aceptadas, herramientas analíticas y modelos” (PDF) diseñado para el gobierno y la gestión de TI empresarial. Con sus raíces en la auditoría de TI, ISACA expandió el alcance de COBIT a través de los años para apoyar completamente el gobierno de TI. La última versión es COBIT 5, ampliamente utilizada por las organizaciones enfocadas a la gestión y mitigación de riesgos.
ITIL: Antiguamente un acrónimo de Information Technology Infrastructure Library, ITIL se centra en la gestión de servicios de TI. Su objetivo es garantizar que los servicios de TI respalden los procesos básicos del negocio. ITIL comprende cinco conjuntos de mejores prácticas de gestión para la estrategia de servicios, el diseño, la transición (tales como la gestión del cambio), la operación y la mejora continua del servicio.
COSO: Este modelo para evaluar los controles internos es del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO). COSO se centra menos en TI que en otros marcos, concentrándose más en aspectos empresariales como la gestión de riesgos empresariales (ERM) y la disuasión del fraude.
CMMI: El método de integración de modelos de madurez de capacidades (CMMI), desarrollado por el Software Engineering Institute, es un enfoque para la mejora del rendimiento. CMMI utiliza una escala de 1 a 5 para medir el rendimiento, la calidad y el nivel de madurez de la rentabilidad de una organización. Según Calatayud,”permitir la inserción de mediciones mixtas y objetivas es crítico para medir riesgos que son de naturaleza cualitativa”.
FAIR: Factor Analysis of Information Risk (FAIR) es un modelo relativamente nuevo que ayuda a las organizaciones a cuantificar el riesgo. El enfoque se centra en la seguridad cibernética y el riesgo operacional, con el objetivo de tomar decisiones más informadas. Aunque es más nuevo que otros marcos mencionados aquí, Calatayud señaló que ya ha ganado mucha tracción con las compañías de la lista Fortune 500.
6- ¿Cómo elijo qué marco de trabajo utilizar?
La mayoría de los marcos de gobierno de TI están diseñados para ayudarle a determinar cómo funciona su departamento de TI en general, qué es lo que necesita la gestión de métricas clave y qué retorno de TI está devolviendo al negocio desde sus inversiones.
Cuando COBIT y COSO se utilizan principalmente para el riesgo, ITIL ayuda a agilizar el servicio y las operaciones. Aunque CMMI fue originalmente diseñado para la ingeniería de software, ahora involucra procesos en el desarrollo de hardware, entrega de servicios y compras. Como se mencionó anteriormente, FAIR es directamente para evaluar los riesgos operativos y de seguridad cibernética.
Cuando revise los marcos de trabajo, tenga en cuenta su cultura corporativa. ¿Parece que un marco o modelo en particular parece ser el adecuado para su organización? ¿Resuena con las partes interesadas? Ese marco es probablemente la mejor opción.
Pero no tiene que elegir sólo un marco de trabajo. Por ejemplo, COBIT e ITIL se complementan entre sí en el sentido de que COBIT a menudo explicó por qué se hace o se necesita algo donde ITIL proporciona el “cómo”. Algunas organizaciones han utilizado COBIT y COSO, junto con la norma ISO 27001 (para la gestión de la seguridad de la información).
7- ¿Cómo se asegura una implementación sin problemas y resultados positivos?
Uno de los caminos más importantes hacia el éxito es la participación de los ejecutivos. Calatayud recomendó la formación de un comité de gestión de riesgos con patrocinios de alto nivel y representación empresarial. “Para asegurar que sea un programa efectivo, necesita ser apoyado por un amplio grupo de líderes empresariales.” También aconsejó compartir los resultados con la junta o el comité de auditoría para “desarrollar una atención real cuando los temas comienzan a ser ignorados”.
Como con cualquier proyecto significativo, siempre debe mantener abiertas las líneas de comunicación entre las diferentes partes, medir y monitorear el progreso de la implementación y buscar ayuda externa si es necesario.
– Kim Lindros – CIO. com
