Informe de Gobierno De TI
Informe Final De Gobierno de TIDescripción completa
Views 60 Downloads 0 File size 6MB
Recommend stories
- Author / Uploaded
- Erick Alfredo Llanos Beltran
- Categories
- Tecnología de información y comunicaciones
- Tecnología
- Cobit
- Planificación
- Toma de decisiones
Citation preview
FACULTAD INGENIERÍA ESCUELA ACADÉMICO PROFESIONAL DE INGENIERÍA DE SISTEMAS
TRABAJO DE INVESTIGACIÓN “IMPLEMENTACIÓN DE UN GOBIERNO DE TECNOLOGÍAS DE INFORMACIÓN PARA LA EMPRESA RÚSTICA EN EL 2017”
AUTORES: CLAROS MENDOZA, CÉSAR CÓRDOVA URRIOLA, JOSÉ WILLIAMS ESQUIVEL UGAZ, ALEXY MIGUEL GONZALES RAMOS, JOSÉ MANUEL MARQUINA VENTURA, JUAN ROMERO ARCE, KATHERINE MILAGROS VALERIO HUAMÁN, STEPHANNIE GIANELLA ZEGARRA TERRONES, ÓSCAR
PROFESOR HUAMANI CUBA, ARTHUR CHRISTIAN CURSO GOBIERNO DE TECNOLOGÍAS DE INFORMACIÓN LIMA – PERÚ 2017
1
2
DEDICATORIA El presente trabajo dedicamos a: Dios por habernos dado la oportunidad de lograr esta meta tan importante en nuestras Vidas, ya que, sin él nada es posible. Nuestros padres porque siempre nos han apoyado y, gracias a ellos, hemos logrado mejores personas. Además, a nuestros compañeros de este trabajo y salón de clases, ya que durante todo este tiempo han brindado su apoyo, amistad, paciencia y comprensión en los momentos difíciles al momento de desarrollar el trabajo.
3
AGRADECIMIENTOS Al ingeniero Huamani Cuba, Arthur Christian; por habernos guiado en el desarrollo de este trabajo clase a clase, ya que, sin su ayuda esto no hubiese sido posible.
4
ÍNDICE DEDICATORIA
3
AGRADECIMIENTOS
4
INDICE DE FIGURAS
7
INDICE DE TABLAS
8
1. INTRODUCCIÓN
9
i. RESUMEN
10
ii. MISIÓN
10
iii. VISIÓN
10
2. SITUACIÓN ACTUAL
11
3. JUSTIFICACIÓN
12
4. OBJETIVOS
13
5. ORGANIGRAMA DE LA EMPRESA
13
6. DETERMINACIÓN DE LAS BRECHAS
14
7. NECESIDADES DEL NEGOCIO
14
8. MARCO TEORICO
15
i. MARCO DE REFERENCIA
15
ii. INTRODUCCIÓN COBIT
19
iii. CRITERIOS DE INFORMACIÓN DE COBIT
19
iv. RECURSOS DE TI
20
v. BENEFICIOS PARA LA EMPRESA EN APLICAR LA METODOLOGÍA COBIT 21 9. METODOLOGÍA, REVISIÓN DE REFERENTES Y HALLAZGOS
21
10. MAPA DE PROCESOS
29
11. PARTES INTERESADAS
30
12. CASCADA DE METAS
32
13. METAS DE LA EMPRESA
33
14. ESTRUCTURAS ORGANIZATIVAS
39
i. ROLES Y FUNCIONES
39 5
ii. VENTAJAS Y DESVENTAJAS DE CADA ROL
39
iii. MATRIZ RACI
39
15. CATALIZADOR DE PROCESOS
43
i. EDM: EVALUAR, ORIENTAR Y SUPERVISAR
43
ii. APO: ALINEAR, PLANIFICAR Y ORGANIZAR
45
iii. BAI: CONSTRUIR, ADQUIRIR E IMPLEMENTAR
46
iv. DSS: ENTREGAR, DAR SERVICIO Y SOPORTE
51
v. MEA: SUPERVISAR, EVALUAR Y VALORAR
54
CONCLUSIONES
60
RECOMENDACIONES
62
REERENCIAS BIBLIOGRÁFICAS
63
6
ÍNDICE DE FIGURAS Figura N°1: Restaurante Rústica
4
Figura N°2: Marco referencial de COBIT
15
Figura N°3: Recursos de TI
20
Figura N°4: Metodología empleada durante la investigación
22
Figura N°5: Método para identificar necesidades de Gobernanza TI a partir de co-creación
23
Figura N°6: Subproceso de selección de beneficios, riesgos y recursos a optimizar
24
Figura N°7: Subproceso de selección de participantes y grupos
25
Figura N°8: Subproceso de selección de definición de técnicas de co-creación
26
Figura N°9: Modelo conceptual con aspectos clave para seleccionar técnicas de co-creación
27
Figura N°10: Subproceso de selección de espacios, medios y tecnologías
28
Figura N°11: Subproceso de definición de mecanismos de motivación y premiación
29
Figura N°12: Cascada de Metas
32
Figura N°13: Mapa de Catalizadores
43
7
ÍNDICE DE TABLAS Tabla N°1: Datos Generales de la Empresa
10
Tabla N°2: Organigrama de la Empresa
13
Tabla N°3: Definiciones de guías, herramientas y estándares
16
Tabla N°4: Comparaciones y relaciones entre guías, herramientas y estándares
17
Tabla N°5: Gobierno Corporativo vs. Gobierno de Tecnologías de Información
18
Tabla N°6: Mapa de Procesos de la Empresa
30
Tabla N°7: Preguntas de las Partes Interesadas Internas
31
Tabla N°8: Preguntas de las Partes Interesadas Externas
31
Tabla N°9: Dimensiones del Cuadro de Mando Integral y sus Definiciones
33
Tabla N°10: Metas Corporativas
34
Tabla N°11: Metas Relacionadas con las TI
34
Tabla N°12: Mapeo de Metas Corporativas con las TI
35
Tabla N°13: Procesos de Catalizadores
36
Tabla N°14: Mapeo Metas de TI y Procesos de COBIT
36
Tabla N°15: Mapeo entre las Metas Corporativas y las Preguntadas de las Partes Interesadas Internas
38
Tabla N°16: Roles y Funciones de la Estructura Organizativa
40
Tabla N°17: Ventajas y Desventajas de cada Rol
41
Tabla N°18: Matriz RACI
42
8
1.
INTRODUCCIÓN Muchas cadenas de restaurantes dependen hoy en día de las tecnologías de la información, puesto que ayuda en gran cantidad a distintos procesos de la organización para su funcionamiento y desarrollo; por consiguiente, hacen grandes esfuerzos e inversiones en tecnología con el objetivo de ser más eficientes y más seguros. La empresa en la cual implementaremos un adecuado Gobierno de TI es el prestigioso y reconocido restaurante llamado Rústica contando con una gran demanda en el mercado.
La cadena Rústica empezó con una pequeña tienda en Jesús María, pero gracias a la dedicación, creatividad y empeño, actualmente cuenta con 42 locales en lima y alrededor de todo el país. En un inicio se destacó por la venta de pizzas y pastas, pero con la finalidad de satisfacer a sus clientes fueron mejorando su cartera de productos. Ahora cuenta con la “Carta Rústica”: pizzas, pastas, pollos, piqueos y parrillas. Con el servicio de buffet criollo e internacional. Por si esto fuera poco ahora la experiencia Rustica ofrece la posibilidad de disfrutar de los servicios de discoteca, bar, karaoke y shows en un solo lugar.
Sin embargo, el problema es que hasta ahora, es muy difícil contar con un adecuado Gobierno de tecnologías de información. Algunas dificultades que se presentan es que en muchas ocasiones se desconoce sobre cómo se debe aplicar un adecuado Gobierno de tecnologías de información mientras que por otro lado no se le da la suficiente importancia o se piensa que no será necesario aplicarlo en el negocio para poder mejorar cada proceso y poder tomar las mejores decisiones por parte de las autoridades más altas de la organización.
Por tal motivo el propósito del presente trabajo de investigación es proponer un modelo adecuado de cómo aplicar un Gobierno de tecnologías de información en la empresa Rústica, con su respectiva guía para su implementación y esta pueda satisfacer las necesidades de los clientes que son el centro de sus ingresos para la organización como así también cumplir los objetivos de TI, los cuales tendrán una gran importancia puesto que estarán alineados a los objetivos del negocio. 9
Tabla N°1: Datos Generales de la Empresa.
Fuente: Elaboración Propia. i.
RESUMEN: Implementaremos un adecuado Gobierno de tecnologías de información en la empresa Rústica para que facilite la toma decisiones que deben tomarse para asegurar la gestión y el uso efectivo de las tecnologías de información cómo así también conocer quienes deben tomar estas decisiones, cómo serán ejecutadas y monitorizadas para llegar al éxito.
ii.
MISIÓN: Alcanzar el primer lugar en el mercado como el mejor restaurante de cocina con un excelente servicio y calidad dentro nuestros productos, para lograr la consolidación en la preferencia de nuestros clientes.
iii.
VISIÓN: Llegar a ser el mejor restaurante de nuestra especialidad en el Perú, construirnos como el más exitoso y convertirnos también como una muy atractiva fuente de trabajo. 10
Figura N°1: Restaurante Rústica.
Fuente: http://www.rustica.com.pe/newweb/4panel/images/upload/5730c255a2906.jpg.
2.
SITUACIÓN ACTUAL En este tema investigaremos acerca de los principios de Cobit 5 para poder obtener mejoras considerables en el área de TI como para la empresa Rústica, en base a los conocimientos obtenidos implementaremos un adecuado Gobierno de tecnologías de información para así controlar, gestionar, medir riesgos de tecnologías de información y finalmente alcanzar el éxito. Realizamos este proyecto en la empresa ubicada en la población de la av. Carlos Alberto Izaguirre, Independencia 15311. Se planea terminarla en un lapso de tiempo corto en el cual se incluye desde su análisis hasta su realización. Se encontraron cómo problemas que existe un déficit a la hora de tomar decisiones puesto que las áreas de la empresa no trabajan en forma conjunta, en especial el área de tecnologías de la información ocasionando 11
conflictos al trazarse nuevos objetivos y nuevos proyectos de nueva tecnología. Para la realización de este proyecto nos enfrentamos a varios problemas, uno de los principales problemas fue que los encargados de la empresa no sabían cómo implementar un adecuado Gobierno de tecnologías de información. Así mismo no sabían cómo plasmar sus dudas y podernos proporcionar la información necesaria ya que no estaban seguros de cuál era su problema esencial para detectar la situación actual; otra dificultad fue el factor tiempo además que la mayoría de trabajadores y encargados no veían necesario la adecuada implementación de un gobierno de tecnologías de información puesto que no suelen ocurrir incidentes dejando de lado los futuros riesgos de tecnologías de información que podrían producirse en cualquier momento. No obstante, al final logramos terminar nuestro proyecto aplicando los principios de Cobit 5 en la empresa Rústica ubicada en la población de la Av. Carlos Alberto Izaguirre, Los Olivos 15311.
3.
JUSTIFICACIÓN Para la mayoría de empresas tener un adecuado proceso de ventas constituye una de sus principales actividades, ya que esto le produce ganancias. Asimismo, gracias a esta actividad fundamental permite que las empresas tengan un desarrollo sostenible y un crecimiento continuo. Se estima que un proceso de ventas es fundamental porque genera un aproximado de más del 85% de ganancias para una empresa dedicada a ese rubro. En la empresa donde realizaremos nuestro proyecto, no es la excepción. Sin embargo, en lo que se refiere al área de tecnologías de información existe un desbalance puesto que no se cuenta con un marco integral ni un correcto adecuado en conjunto provocando así un retraso en las operaciones y manejo de datos, ya que cada día son más las personas que acuden a la empresa.
En la actualidad el manejo de información exige rapidez y precisión en s u ejecución, a esto responde una sistematización que debe ser eficaz para el manejo centralizado de los datos; así como la integridad, consistencia, seguridad y rapidez en el manejo de los mismos, sus características son: acceder a la información de forma fácil y rápida, tener a disposición de información precisa y actualizada, mantener la información de forma compacta e integrada. 12
Es por ello que contar con un adecuado Gobierno de tecnologías de la información hará posible que las mayores autoridades de la organización puedan tomar las mejores decisiones mejorando distintos aspectos del negocio en gestión y facilitando el control de dichas tareas con el fin de mejorar las condiciones de trabajo. Todo esto se llevará a cabo bajo los principios de Cobit 5, puesto que ello se logrará como resultado una mejora continua y un desarrollo sostenible para la empresa Rústica haciendo que se lleve a cabo una correcta auditoría, control, gestión, gobierno de tecnologías de información (empresarial) definiendo parámetros e incluyendo los riesgos de las tecnologías de información.
4.
OBJETIVO Determinar la influencia de un Gobierno de tecnologías de información para la empresa Rústica en el 2017.
5.
ORGANIGRAMA DE LA EMPRESA
Tabla N°2: Organigrama de la Empresa.
Fuente: Elaboración Propia. 13
6.
DETERMINACIÓN DE LAS BRECHAS: Carecen de un adecuado Gobierno de tecnologías de información provocando así un retraso en las operaciones y manejo de datos, además de no tomar las mejores decisiones en momentos cumbres para la empresa. a) No se cubre de forma integral a ciertas áreas de la empresa. b) No existe un correcto enfoque holístico.
7.
NECESIDADES DEL NEGOCIO: Las necesidades del negocio son el propósito comercial legítimo que justifican las prácticas laborales como válidas y necesarias para la consecución efectiva de los objetivos de la organización y las operaciones seguras y eficientes del negocio. Las necesidades del negocio Identificadas fueron: Garantía en la higiene del local, en la higiene en la elección y manipulación de alimentos. Tener una gastronomía adecuada a los distintos tipos de clientes. Tener unos precios adecuados a las economías de sus clientes. Estos desean poder comer dentro de un abanico de precios que no siempre tiene por qué ser altos. Tener unas instalaciones adecuadas al tipo de cliente que visita el restaurante, como comedores privados, salones para banquetes, etc. Ofrecer los servicios deseados por los distintos tipos de clientes como teléfono portátil, cochera; etc. Comunicarse con los clientes en sus idiomas (los más usuales). Tener un sistema de reservas amable, ágil, fácil de localizar, discreto y sin errores. Estar situado en una zona segura de robos, de multas y demás sustos. Tener unos empleados con una amabilidad sorprendente que hagan cómoda y agradable la estancia a los clientes. Sorprender a los clientes con platos nuevos, únicos y muy buenos. Sorprenderles con tentadores menús por su contenido y precio. Disponer de una arquitectura atractiva por su modernidad, extravagancia o antigüedad.
14
8.
MARCO TEORICO
i. MARCO DE REFERENCIA En COBIT el marco referencial se refiere a que el enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con la Tecnología de Información que deben ser administrados por procesos de TI.
Figura N°2: Marco Referencial de COBIT.
Fuente: Libro de Diseño de Sistema de Gestión de Seguridad de Información.
Para satisfacer los objetivos del negocio, la información necesita concordar con ciertos criterios a los que COBIT hace referencia como requerimientos de negocio para la información. Para asegurar que los requerimientos del negocio para la información se cumplan, es necesario definir, implementar y monitorear adecuadas medidas de control sobre esos recursos. ¿Cómo pueden entonces las empresas estar satisfechas respecto a que la información obtenida presente las características que necesitan? Es aquí donde se requiere de un sano marco referencial de Objetivos de Control para TI. 15
Es por ello que, para el marco de referencia de este trabajo, se tendrá en cuenta algunas guías, herramientas y estándares, pero previamente se hará una comparación entre ellas con respecto a los objetivos del negocio.
Tabla N°3: Definiciones de guías, herramientas y estándares .
Fuente: Elaboración Propia.
Para cada estándar existe características únicas, pero suele encontrarse que hay semejanzas como también diferencias ayudándonos a poder tener la mejor selección y así poder intuir qué estándares nos serán de mucha ayuda en nuestro proyecto de investigación. 16
Tabla N°4: Comparaciones y relaciones entre guías, herramientas y estándares.
Fuente: Elaboración Propia.
Se debe tener en cuenta que ciertos estándares aplican más al Gobierno corporativo que al Gobierno de tecnologías de información ocasionando un conflicto a la hora de seleccionarlos y no permitiéndonos escoger la mejor opción para nuestro marco de referencia. Tener en cuenta que:
Gobierno Corporativo: Permite asegurar que se alcancen los objetivos de rendimiento y rentabilidad de la empresa, a su vez prevenir pérdidas de recursos humanos. Gobierno de Tecnologías de Información: Es el alineamiento de las tecnologías de información y la comunicación con las estrategias del negocio.
17
Tabla N°5: Gobierno Corporativo vs. Gobierno de Tecnologías de Información.
Fuente: Elaboración Propia.
18
SELECCIÓN DEL MARCO DE REFERENCIA: Ya habiendo revisado información acerca de los estándares sobre sus definiciones, semejanzas y diferencias, además teniendo nociones sobre a que se enfoca cada estándar si es que aplica al Gobierno corporativo o al Gobierno de tecnologías de información se decide que los estándares a usar en nuestro marco de referencia serán:
ITIL: Permite el alto nivel de disponibilidad de dichos servicios y un alto nivel de satisfacción de clientes y empleados de la compañía. CMMI: Refiere a los modelos que contiene las mejores prácticas que ayudan a las organizaciones a mejorar su proceso. ISO 22001: Norma para control de seguridad de alimentos y que así se brinden alimentos de calidad.
ii. INTRODUCCIÓN COBIT COBIT fue creado para ayudar a la alta dirección a garantizar el logro de objetivos de los negocios mediante la dirección y control adecuado de las TI, sin embargo, la aplicación de COBIT se debería de dar en todos los niveles organizativos de la empresa y no tan solo concentrarse en la tecnología de la información. COBIT está involucrado en reflejar las principales directrices jerárquicas que permitan el control de la tecnología de información aplicada en la empresa. (1)
iii. CRITERIOS DE INFORMACIÓN DE COBIT Las metas de los negocios dependen del desenvolvimiento de la información que genera TI que debe estar adaptada a criterios de control. COBIT ha definido siete criterios de información permiten satisfacer los objetivos del neg ocio, que serán:
19
Efectividad: Es la información pertinente en los procesos del negocio, que se proporciona en forma segura, oportuna, consistente, relevante y utilizable.
Eficiencia: Es la información generada con el óptimo uso de recursos.
Confidencialidad: La información sensible debe estar protegida contra revelación no autorizada.
Integridad: La completitud y la precisión de la información y la validez que esté acorde a las expectativas de las empresas.
Disponibilidad: La información que se desarrolle dentro de la organización esté disponible en todo momento, también involucra la protección de los recursos y las capacidades necesarias asociadas.
Cumplimiento: Se relaciona con el acatamiento de leyes, reglamentos y acuerdos a los cuales está sujeto el negocio, decir criterios de negocios externos, así como políticas internas.
Confiabilidad: Consiste en proporcionar la información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades de gobierno.
iv. RECURSOS DE TI Las organizaciones invierten en recursos para poder atender a los requerimientos de TI y garantizar que los procesos se desarrollen acordes a las metas trazadas. Los recursos de TI se identifican en la siguiente figura:
Figura N°3: Recursos de TI.
Fuente: (2). 20
v. BENEFICIOS PARA LA EMPRESA EN APLICAR LA METODOLOGÍA COBIT La adopción eficaz de las mejores prácticas ayudara a obtener valor de las inversiones de TI y los servicios de TI, sus principales beneficios son:
Optimizar la calidad, la respuesta y la fiabilidad de las soluciones y los servicios de TI.
Generar la confianza y el progresivo involucramiento de beneficiarios y favorecedores del negocio.
9.
Reducir peligros, sucesos y fracasos en los proyectos.
METODOLOGÍA, REVISIÓN DE REFERENTES Y HALLAZGOS Con el propósito de proponer una nueva forma mediada por la co-creación para ejecutar la fase inicial del proceso de gobernanza TI en una organización, se empleó un enfoque abductivo.
En la siguiente Figura N°4 se puede apreciar el proceso que se realizará para poder implementar un adecuado gobierno de TI a través de un método abductivo. Para empezar se analizará la situación actual de Rústica identificando así su problemática y las necesidades del negocio; teniendo en cuenta esto, se validará el método para hacer uso de una propuesta de mejora para el negocio.
21
Figura N°4: Metodología empleada durante la investigación.
Fuente: Imagen modificada de la Revista Ibérica de Sistemas y Tecnologías de Información.
En esta parte se analizará el área o departamento a optimizar, esto será posible con la identificación de requerimientos del negocio y de sus metas de la organización. Se deberá contar con un grupo de trabajo eficiente y comprometido para un correcto desarrollo de la propuesta planteada. A continuación, observemos la Figura N°5.
22
Figura N°5: Método para identificar necesidades de Gobernanza TI a partir de co-creación.
Fuente: Imagen modificada de la Revista Ibérica de Sistemas y Tecnologías de Información.
En la siguiente Figura N°6 nos dice lo importante que es clasificar las necesidades del negocio para que así las partes interesadas se puedan beneficiar a la hora de recibir el servicio. Además se planteará un costo de inversiones con el que se financiará el proyecto, sin dejar de lado la importancia de identificar los riesgos o amenazas que puedan existir.
23
Figura N°6: Subproceso de selección de beneficios, riesgos y recursos a optimizar.
Fuente: Imagen modificada de la Revista Ibérica de Sistemas y Tecnologías de Información.
A continuación, en la Figura N°7 se tomará en cuenta a los distintos posibles participantes durante la operación, se definirá el perfil de los participantes y medir su nivel de conocimientos para poder recomendar y distribuir de forma adecuada a cada tipo de interesado que hará partícipe su intervención.
24
Figura N°7: Subproceso de selección de participantes y grupos.
Fuente: Imagen modificada de la Revista Ibérica de Sistemas y Tecnologías de Información.
En esta sección ya se habrán identificados aspectos relevantes llevando a cabo el uso de técnicas de co-creación que este alineado al contexto actual estableciendo acuerdos que cuenten con una adecuada documentación para obtener un sustento de evidencias para evitar así futuros problemas, dando por validado el documento se termina esta sección.
25
Figura N°8: Subproceso de selección de definición de técnicas de co-creación.
Fuente: Imagen modificada de la Revista Ibérica de Sistemas y Tecnologías de Información.
Aquí se pueden observar aspectos claves para tomar en cuenta a la hora de crear valor para la empresa tales como los costos, roles, además de las partes interesadas, objetivos, entorno, fases; etc.
26
Figura N°9: Modelo conceptual con aspectos clave para seleccionar técnicas de co-creación.
Fuente: Imagen modificada de la Revista Ibérica de Sistemas y Tecnologías de Información.
En la siguiente Figura N°10 se puede apreciar la inclusión de las tecnologías de información que serán parte fundamental para cumplir con las metas planteadas llegando a ser herramientas, las cuales tendrán un gran aporte a la obtención de los objetivos.
27
Figura N°10: Subproceso de selección de espacios, medios y tecnologías.
Fuente: Imagen modificada de la Revista Ibérica de Sistemas y Tecnologías de Información.
Este gráfico se basa en cómo hacer posible que los trabajadores se encuentren motivados y así mismo puedan integrarse al grupo logrando un enfoque holístico para la empresa ya que cada trabajador si bien pueda realizar tareas de forma individual lo haga con el mismo objetivo teniendo en cuenta el mando integral, aquí se plantearán tareas tales como una línea de carrera, ejercicios de motivación, entre otros.
28
Figura N°11: Subproceso de definición de mecanismos de motivación y premiación.
Fuente: Imagen modificada de la Revista Ibérica de Sistemas y Tecnologías de Información.
10.
MAPA DE PROCESOS El mapa de procesos se debe tener muy en cuenta, ya que es la representación gráfica de las actividades (procesos) que están presentes en una empresa, mostrándonos una relación entre ellas y sus relaciones con el entorno externo. Para efectuar nuestro mapa de procesos lo dividiremos en diferentes secciones, lo cual nos ayudará en mantener un orden y adecuado control de esta valiosa información. Las secciones (divisiones) serán:
1. Necesidades del cliente. 2. Procesos estratégicos. 3. Proceso de Prestación de Servicios (Procesos Operativos). 4. Proceso de Medición, análisis y mejora (Procesos de Soporte). 5. Resultados.
29
Tabla N°6: Mapa de Procesos de la Empresa.
Fuente: Elaboración Propia.
11.
PARTES INTERESADAS Las partes interesadas son todo aquellos que se van a beneficiar del producto o servicio ya sea por parte económica, adquisición, demanda, poder o tener una experiencia (valor). En nuestro proyecto pudimos encontrar a las partes interesadas. Sin embargo, nos dimos cuenta que pertenecían a dos grupos: Partes interesadas internas: Pertenecen o están dentro de la organización. Partes interesadas externas: Se encuentran en el entorno externo que rodea a la organización.
30
Tabla N°7: Preguntas de las Partes Interesadas Internas .
Fuente: Elaboración Propia. Tabla N°8: Preguntas de las Partes Interesadas Externas
Fuente: Elaboración Propia. 31
12.
CASCADA DE METAS En la cascada de metas, ilustrada en la Figura N°4, las necesidades de las partes interesadas que están influenciadas por diferentes motivos, se traducen y concretan en metas operativas de la empresa que deben satisfacerse. Para cumplir con estas metas empresariales, se requiere a su vez alcanzar las metas relacionadas con las TI y finalmente traducirse en metas para los diferentes catalizadores. Figura N°12: Cascada de Metas.
Fuente: Elaboración Propia. 32
13.
METAS DE LA EMPRESA La estructura de las metas corporativas establecidas para el modelo en este trabajo cuenta con la priorización de cada una de las metas con los objetivos del gobierno establecidos anteriormente en la cascada de metas explicado en la Figura N°4, y también las clasifica dentro de las dimensiones del cuadro de mando integral, tal y como describe en la Tabla N°9 a las dimensiones del CMI y sus definiciones.
Las metas de la empresa son los objetivos planteados por la organización para obtener un resultado específico. Estas metas serán de suma importancia puesto que serán el objetivo a lograr que guíe al negocio en cada proceso con tal de obtener y alcanzar el logro planteado.
Todas las organizaciones requieren de metas corporativas y de metas por cada área de la empresa. En este caso nos enfocaremos en las metas corporativas y las metas relacionadas con las tecnologías de información.
Tabla N°9: Dimensiones del Cuadro de Mando Integral y sus Definiciones
Fuente: Elaboración Propia.
33
Tabla N°10: Metas Corporativas.
Fuente: Elaboración Propia.
Tabla N°11: Metas Relacionadas con las TI. Dimención del CMI TI Financiera Cliente Interna Aprendizaje y Crecimiento
1 2 3 4 5 6 7 8
Metas de información y tecnología relacionada Transparencias de los costos y beneficios en los servicios de TI Toma de decisiones relacionadas con TI Entrega de servicios de atencion online conforme a los requerimientos del cliente Optimización de las capacidades de TI Integrar aplicaciones y tecnologías de información en las actividades de las jefaturas Capacitación de los empleados en los servicios de atención online al cliente Capacitación en TI de los empleados de cada área Linea de carrera para los profesionales de TI en nuevas tecnologías
Fuente: Elaboración Propia. Siempre debe existir un planeamiento estratégico ya que esto genera que exista un mapeo entre metas corporativas y metas de TI ya que con esto podemos tener la información más clara y además esto dinamiza y maximiza los resultados de la organización. Este proceso permite mapear con precisión la estructura actual, además de definir con claridad las metas y elaborar el planeamiento futuro, con indicadores de seguimiento, a su vez una evaluación periódica e las eficacias de las acciones y correcciones de ruta del planeamiento estratégico de las tecnologías de información.
34
Con este mapeo se podrá obtener una optimización de los resultados obtenidos por cada meta planteada debidamente por la organización. Tabla N°12: Mapeo de Metas Corporativas con las TI.
Fuente: Elaboración Propia.
Es de suma importancia contar con un mapeo de metas de tecnologías de información con los procesos ya que esto ayuda a tener de forma muy clara que tan importante es cada proceso con la meta a realizar por la empresa.
Acá se podrá observar si existe o no importancia de ciertos procesos y también que cada proceso se aplica de forma muy diferente a los que se refiere a prioridad en proporción para cada meta de tecnología de información.
35
Tabla N°13: Procesos de Catalizadores.
Fuente: Elaboración Propia. Tabla N°14: Mapeo Metas de TI y Procesos de COBIT.
Fuente: Elaboración Propia. 36
A partir del siguiente cuadro se puede observar de forma detallada y concisa la relación que existe entre las necesidades de las partes interesadas (las partes interesadas definidas previamente) y las metas corporativas tanto de gestión cómo de gobierno. Esto nos ayudará como grupo de trabajo que somos a poder identificar de forma clara que requerimiento será de vital importancia de acuerdo a una meta específica para así primero tener de forma organizada la información para posterior conocer la relevancia de dicha necesidad y actuar para tener un grado o nivel de cumplimiento óptimo referente a ese requerimiento relacionado a la meta a tratar.
37
Tabla N°15: Mapeo entre las Metas Corporativas y las Preguntadas de las Partes Interesadas Internas
Fuente: Elaboración Propia. 38
14.
ESTRUCTURAS ORGANIZATIVAS En esta parte del proyecto de investigación nos centraremos en identificar la función de cada miembro de la organización (los de más relevancia), las ventajas y desventajas de su cargo como también estaremos abordando la creación de la matriz RACI que es parte fundamental para tener definido de forma clara y precisa la responsabilidad de cada rol.
i.
ROLES Y FUNCIONES Dentro de una empresa normal, se suelen encontrar los roles y funciones de cada miembro de la organización, tal y como se puede apreciar en la Tabla N°14.
ii.
VENTAJAS Y DESVENTAJAS DE CADA ROL La decisión de delegar la responsabilidad de manera general depende de la situación específica de la empresa, en la Tabla N°15 contiene algunas posibles ventajas y desventajas de que se pueda asignar a un determinado rol, y los cuales se deben tener en cuenta para tomar la decisión.
iii.
MATRIZ RACI La matriz RACI vincula las actividades de los procesos con estructuras organizativas y/o roles individuales en la empresa. En la Tabla N°16, describe el nivel de involucración de cada rol para cada práctica del proceso:
R: Responsable de hacer el proceso. A: Responsable de que se haga el proceso. C: Consultado. I: Informado.
39
Tabla N°16: Roles y Funciones de la Estructura Organizativa.
Fuente: Elaboración Propia.
40
Tabla N°17: Ventajas y Desventajas de cada Rol.
Fuente: Elaboración Propia.
41
Tabla N°18: Modelo RACI.
Fuente: Elaboración Propia.
Gracias a esta matriz podemos identificar los roles y los procesos que harán posible el servicio de atención al cliente online, además tener de forma ordenada y organizada que cada rol tenga una función específica, en otras palabras, de esta manera se logra asegurar que cada uno de los componentes del alcance este asignado a un individuo o a un equipo de trabajo. Tener en cuenta lo mencionado anteriormente en la página 25 sobre la definición de cada letra:
R: Persona encargada de realizar la actividad. A: Persona responsable que la actividad termine en forma correcta. C: Persona que tiene cierta información para realizar el trabajo. I: Personas que se les debe informar el estado y resultados del trabajo.
42
15.
CATALIZADOR DE PROCESOS Los detalles de todos los procesos específicos del servicio de atención al cliente, de acuerdo al modelo de procesos descrito en el mapa de procesos (Tabla N°6), junto con el Modelo de Referencia de Procesos de COBIT 5 (Figura N°2), harán posible una adecuada implementación del Servicio de Atención al Cliente Online.
Figura N°13: Mapa de Catalizadores.
Fuente: Elaboración Propia.
i.
EDM: EVALUAR, ORIENTAR Y SUPERVISAR Los EDM se encargan de evaluar, orientar y supervisar en donde lo que se busca es asegurar factores de gran importancia en la empresa ya sea prevenir riesgos, optimización de recursos y transparencia. Aplicaremos la entrega de beneficios puesto que Rústica brinda experiencia al cliente como a sus trabajadores, esta parte es vista por los gerentes.
43
44
ii.
APO: ALINEAR, PLANIFICAR Y ORGANIZAR Tal como lo indica su nombre cada APO tiene la finalidad de alinear, planificar y organizar. De acuerdo a la empresa en gestión optamos por el uso de la APO sobre presupuestos y costes ya que es fundamental para Rústica para obtener ganancias, monitorear el desempeño de los costes, asegurar actividades que produzcan reducción de costos como quien va realizar cada acción, esta parte lo ven los jefes.
45
iii.
BAI: CONSTRUIR, ADQUIRIR E IMPLEMENTAR También haremos uso de BAI, este se encarga de construir, adquirir e implementar. Aplicaremos la gestión de programas y proyectos que se realizaran en la empresa.
46
47
48
49
50
iv.
DSS: ENTREGAR, DAR SERVICIO Y SOPORTE Cómo bien lo dice su nombre, los DSS se encargarán de brindar un servicio, pero previamente estudiar los riesgos para dar un adecuado soporte, para así poder gestionar cada problema, incidente o dificultad que se vea durante los procesos del negocio logrando así una continuidad en el desarrollo del servicio.
Cómo se puede observar dentro de la guía de Cobit existen diferentes tipos de DSS, cada uno cuenta con una función en específico; estos son:
1. Gestionar operaciones. 2. Gestionar peticiones e incidentes de servicio. 3. Gestionar problemas. 4. Gestionar la continuidad. 5. Gestionar servicios de seguridad. 6. Gestionar controles de procesos de negocio.
Para nuestro trabajo de investigación aplicaremos el uso de la DSS02, ya que nos habla de gestionar las peticiones e incidentes de servicios de atención al cliente siendo así muy aplicable para nuestra empresa en gestión que no es nada más ni nada menos la empresa ya mencionada “RÚSTICA” que tiene como proceso principal la atención al cliente para así generar ganancias y una adecuada continuidad de servicio.
51
DSS02 Gestionar Peticiones e Incidentes de Servicio de atencion al cliente
Área: Gestión Dominio: Entrega, Servicio y Soporte
Descripción del Proceso de COBIT 5 Proveer una respuesta oportuna y efectiva a las peticiones de usuario y la resolución de todo tipo de incidentes. Recuperar el servicio normal; registrar y completar las peticiones de usuario; y registrar, investigar, diagnosticar, escalar y resolver incidentes. Declaración del Propósito del Proceso de COBIT 5 Lograr una mayor productividad y minimizar las interrupciones mediante la rápida resolución de consultas de usuario e incidentes.
DSS02 Objetivos y Métricas del Proceso específicas Servicios de atencion al cliente Objetivos del Proceso específicos de Servicios de atencion al cliente
Métricas Relacionadas
1. La entrega de servicios online conforme a los requerimientos del cliente
• Tiempo promedio de resolución de incidencias de servicio • Número y porcentaje de incidentes relacionados con servicios de atencion al cliente que causan interrupción en los procesos de servicios de atencion
• Frecuencia de ocurrencias en servicios
52
53
v.
MEA: SUPERVISAR, EVALUAR Y VALORAR En lo que se refiere a este catalizador, tiene como finalidad tener un control total en todo lo referido al monitoreo ya sea del rendimiento y conformidad de los procesos, el sistema de control interno y la conformidad con los requerimientos externos.
MEA01 Prácticas, Entradas/Salidas y Actividades de Procesos Específicos de Seguridad Entradas específicas de seguridad (Adicionales a las Entradas COBIT 5) Prácticas de Gobierno MEA01.01 Establecer un enfoque de la supervisión. Involucrar a las partes interesadas en el establecimiento y mantenimient o de un enfoque de supervisión que defina los objetivos, alcance y método de medición de las soluciones de negocio, la entrega del servicio y la contribución a los objetivos de negocio. Integrar este enfoque con el sistema de gestión del rendimiento de la compañí a.
De
Salidas específicas de seguridad (Adiciona le s a las Entradas COBIT 5) Descripción
Descripción
APO01.03
Políticas enfocadas en la calidad de atención
BAI02.01
.
Proceso y procedimiento de supervisión de la calidad de atención
A
MEA01. 02
Fuera del ámbito de Estándares y COBIT 5 para regulaciones de Seguridad de la seguridad de la Información información Actividades específicas de segurida d (Adiciona le s a las Entradas COBIT 5)
1. Identificar y confirmar las partes interesados en seguridad de la información. 2. Involucrar a las partes interesadas y comunicar los requisitos de la seguridad de la información y los objetivos de seguimiento y emisión de informes. 3. Alinear y mantener continuament e el enfoque de supervisión y evaluación de la seguridad de información con los enfoques de TI y de la empresa. 4. Establecer el proceso y el procedimiento de supervisión de la seguridad de información. 5. Acordar un sistema de gestión del ciclo de vida y el proceso de control de cambios para la supervisión y emisión de informes de seguridad de información. 6. Solicitar, priorizar y asignar recursos para supervisar la seguridad de información.
Prácticas de Gobierno MEA01.02 Establecer los objetivos de cumplimie nt o y rendimiento. Colaborar con las partes interesadas en la definición, revisión periódica, actualización y aprobación de los objetivos de rendimiento y cumplimiento enmarcados dentro del sistema de medida del rendimiento.
Entradas específicas de seguridad (Adicionales a las Entradas COBIT 5) De Descripción MEA01.01
Procesos y procedimiento de supervisión de atención al cliente
Salidas específicas de seguridad (Adiciona le s a las Entradas COBIT 5) Descripción Acuerdos sobre métricas y objetivos de calidad en la atención al cliente
A
APO07. 04 MEA01. 04
Actividades específicas de segurida d (Adiciona le s a las Entradas COBIT 5) 1. Definir los objetivos de rendimiento de seguridad de la información de acuerdo con los estándares globales de rendimiento de TI. 2. Comunicar el rendimient o de seguridad de información y los objetivos de conformidad a las principales partes interesadas con la debida diligencia. 3. Evaluar si los objetivos y las métricas de seguridad de la información son adecuadas, es decir, específicas, medibles, realizables, pertinentes y de duración determinada.
54
MEA01 Prácticas, Entradas/Salidas y Actividades de Procesos Específicos de Seguridad (cont.) Entradas específicas de seguridad (Adicionales a las Entradas COBIT 5) Prácticas de Gobierno MEA01.03 Recopilar y procesar los datos de cumplimiento y rendimie nt o. Recopilar y procesar datos oportunos y precisos de acuerdo con los enfoques del negocio.
De Fuera del ámbito de COBIT 5 para Seguridad de la Informació n
Salidas específicas de seguridad (Adicionales a las Entradas COBIT 5)
Descripción Regulaciones aplicables
Descripción Datos de seguimiento procesados enfocados en la atención al cliente
A Interno
Actividades específicas de segurida d (Adiciona le s a las Entradas COBIT 5) 1 Recopilar y analizar los datos de rendimiento y de conformidad relativos a la seguridad de la información y a la gestión de riesgos de la información (por ejemplo, métricas de seguridad de la información, informes de seguridad de la información). 2. Valorar la eficiencia, idoneidad e integridad de los datos recogidos. Entradas específicas de seguridad (Adicionales a las Entradas COBIT 5) Prácticas de Gobierno MEA01.04 Analizar e informar sobre el rendimiento. Revisar e informar de forma periódica sobre el desemp eño respect o de los objetivos, utilizando métodos que proporcionen una visión complet a y sucinta del rendimiento de las TI y encaje con el sistema corporativo de supervisión.
De MEA01.02
Salidas específicas de seguridad (Adicionales a las Entradas COBIT 5)
Descripción
Descripción
Acuerdo sobre métricas y objetivos de calidad en la atención al cliente
Informes sobre la atención ofrecida al cliente y planes de acciones correctivas actualizadas
A APO01. 07
Actividades específicas de segurida d (Adiciona le s a las Entradas COBIT 5) 1. Diseñar, implementar y acordar una serie de informes de desempeño de seguridad de la información. 2. Comparar los valores de rendimient o con los objetivos y puntos de referencia internos y, cuando sea posible, con puntos de referencia externos (industria y competidores clave). Entradas específicas de seguridad (Adicionales a las Entradas COBIT 5) Prácticas de Gobierno MEA01.05 Asegurar la implantación de medidas correctivas. Apoyar a las partes interesadas en la identificación, inicio y seguimiento de las acciones correctivas para solventar anomalías.
De Fuera del ámbito de COBIT 5 para Seguridad de la Informació n
Salidas específicas de seguridad (Adicionales a las Entradas COBIT 5)
Descripción Guías de escalado
Descripción Proceso de seguimiento de acciones correctivas en materia de atención al cliente
A Interno
Actividades específicas de segurida d (Adiciona le s a las Entradas COBIT 5) 1. Desarrollar un proceso de seguimiento para las acciones correctivas en materia de seguridad de la información.
55
MEA02 Prácticas de Seguridad Específicos del Proceso, Entradas/Salidas y Actividades Entradas específicas de seguridad (Adicionales a las Entradas COBIT 5) Práctica de Gestión
De
MEA02.01 Supervisa r el control interno. Realizar, de forma continua, la supervisión, los estudios comparativos y la mejora el entorno de control de TI y el marco de control para alcanzar los objetivos organizat ivos.
Salidas Específicas de Seguridad (Adicionales a las Salidas de COBIT 5)
Descripción
APO01.03
Políticas de calidad en la atención al cliente Informe de auditoría del SGSI
APO13.03
Informe de auditoría ISMS
Descripción Alcance para la supervisión de la calidad de atenció n ofrecida en los locales y estrategia de evaluación de controles internos definidos
A MEA02. 03
Fuera del ámbito Auditorías externas de COBIT 5 para independient es Seguridad de la Informació n Actividades Específicas de Segurida d (Adiciona le s a las Activida des de COBIT 5) 1. Realizar una revisión periódica de las políticas y procedimient os de seguridad de la información. 2. Determinar el alcance del aseguramiento p.ej. controles de seguridad de la información a evaluar. 3. Establecer un enfoque formal para el aseguramient o de seguridad de la información. Entradas Específicas de Seguridad (Adicionales a las Entradas de COBIT 5) Práctica de Gestión MEA02.02 Revisar la efectividad de los controles sobre los procesos de negocio. Revisar la operación de controles, incluyendo la revisión de las evidencias de supervisión y pruebas, para asegurar que los controles incorporados en los procesos de negocio operan de manera efectiva. Incluir actividades de mantenimient o de evidencias de la operación efectiva de controles a través de mecanismos como la comprobación periódica de controles, supervisión continua de controles, evaluaciones independientes, centros de mando y control y centros de operación de red. Esto proporciona al negocio de la seguridad de la efectividad del control para satisfacer los requisitos relativos al negocio y a las responsabilidades sociales y regulatorias.
De
Salidas Específicas de Seguridad (Adicionales a las Salidas de COBIT 5)
Descripción
Descripción Evidencia de la efectividad de los controles de seguridad de la informació n
A Interno
Actividades Específicas de Segurida d (Adiciona le s a las Activida des de COBIT 5) 1. Medir la eficacia de los controles de seguridad de la información. 2. Realizar revisiones regulares de aplicaciones, sistemas y redes.
56
MEA02 Prácticas de Seguridad Específicos del Proceso, Entradas/Salidas y Actividades (cont.) Entradas específicas de seguridad (Adicionales a las Entradas COBIT 5)
Salidas Especificas de Seguridad (Adicionales a las Salidas de COBIT 5)
Práctica de Gestión De MEA02.03 Realizar autoevaluación de control. Estimular a la Dirección y a los propiet arios de los procesos a tomar posesión de manera firme del procedimient o de mejora del control, a través de programas continuos de autoevaluación que valoren la completitud y efectividad del control de la Dirección sobre los procesos, políticas y contratos.
MEA02.01
Descripción Alcance para el aseguramie nt o de calidad en atención al client e y estrategia de evaluación de controles internos definidos
Descripción Evaluaciones de aseguramiento de atención al cliente
A MEA02. 04
Actividades Específicas de Segurida d (Adiciona le s a las Activida des de COBIT 5) 1. Realizar evaluaciones del aseguramient o de seguridad de la información (independientes y auto-evaluaciones) para identificar debilidades de los controles. Entradas específicas de seguridad (Adicionales a las Entradas COBIT 5) Práctica de Gestión MEA02.04 Identificar y comunicar las deficiencias de control Identificar deficiencias de control y analizar e identificar las causas raíces subyacentes. Escalar las deficiencias de control y comunicarlas a las partes interesadas.
De MEA02.03
Descripción Evaluaciones de aseguramiento de calidad en la atención al cliente
Salidas Especificas de Seguridad (Adicionales a las Salidas de COBIT 5) Descripción Resultados de la evaluación y acciones de remedio
A MEA02. 08
Actividades Específicas de Segurida d (Adiciona le s a las Activida des de COBIT 5) 1. Revisar los informes de incidentes de seguridad de la información para identificar deficiencias de los controles. Informar y abordar las deficiencias detect ad as. Entradas específicas de seguridad (Adicionales a las Entradas COBIT 5) Práctica de Gestión
De
Descripción
Salidas Especificas de Seguridad (Adicionales a las Salidas de COBIT 5) Descripción
A
Interno Compet encias en habilidades y conocimiento
MEA02.05 Garantizar que los proveedores de aseguramie nt os sean independientes y cualificados. Asegurar que las entidades que realizan el aseguramiento sean independientes de la función, grupo u organización en el alcance. Las entidades que realizan el aseguramient o deberían demostrar una actitud y apariencia apropiadas y adecuada competencia en las habilidades y conocimient os que son necesarios para realizar el aseguramiento y la adherencia a los códigos de ética y los estándares profesionales.
Actividades Específicas de Segurida d (Adiciona le s a las Activida des de COBIT 5) 1. Establecer competencias y cualificaciones para el proveedor de aseguramiento.
Práctica de Gestión MEA02.06 Planificar iniciativas de aseguramiento. Planificar las iniciativas de aseguramiento basándose en los objetivos empresariales y las priorid ades estratégicas, riesgo inherente, restricciones de recursos y suficiente conocimiento de la compañía.
Entradas específicas de seguridad (Adicionales a las Entradas COBIT 5) De Descripción Fuera del ámbito de COBIT 5 para Seguridad de la Informació n
Plan de compromiso
Salidas Especificas de Seguridad (Adicionales a las Salidas de COBIT 5) Descripción A Plan de compromiso actualizado
Interno
Actividades Específicas de Segurida d (Adiciona le s a las Activida des de COBIT 5) 1. Aceptar los objetivos de la revisión de aseguramient o de seguridad de la información.
57
Entradas específicas de seguridad (Adicionales a las Entradas COBIT 5)
Salidas Especificas de Seguridad (Adicionales a las Salidas de COBIT 5)
Práctica de Gestión De MEA02.07 Estudiar las iniciativas de aseguramiento. Definir y acordar con la dirección el ámbit o de la iniciativa de aseguramiento, basándose en los objetivos de aseguramiento.
Fuera del ámbito de COBIT 5 para Seguridad de la Informació n
Descripción
Descripción
Plan de compromiso
Plan de compromiso actualizado
A Interno
Actividades Específicas de Segurida d (Adiciona le s a las Activida des de COBIT 5) 1. Documentar los detalles del compromiso de la organización en completar la revisión.
MEA02 Prácticas de Seguridad Específicos del Proceso, Entradas/Salidas y Actividades (cont.) Entradas específicas de seguridad (Adicionales a las Entradas COBIT 5)
Salidas Especificas de Seguridad (Adicionales a las Salidas de COBIT 5)
Práctica de Gestión De
MEA02.08 Ejecutar las iniciativas de aseguramiento. Ejecutar la iniciativa de aseguramient o planificada. Informar de los hallazgos identificados. Proveer opiniones de aseguramiento positivo, cuando sea oportuno, y recomendaciones de mejora relativas a los riesgos residuales identificados en el desempeño operacional, el cumplimiento externo y el sistema de control interno.
Descripción
DSS05.02
Resultados de pruebas de intrusión
MEA02.04
Resultados de la evaluación y acciones de remedio
Descripción
Informes y recomendaciones de auditorías externas para la supervisión de la calidad de atención al cliente
A
Interno
Actividades Específicas de Segurida d (Adiciona le s a las Activida des de COBIT 5) 1. Producir y emitir informes firmados sobre el aseguramiento de seguridad de la información.
58
MEA03 Prácticas de Seguridad Específicos del Proceso, Entradas/Salidas y Actividades Entradas específicas de seguridad (Adicionales a las Entradas COBIT 5) Práctica de Gestión MEA03.01 Identifica r requisitos externos de cumplimie nto. Identificar y supervisar, de manera continuada, cambios en las legislaciones y regulaciones tanto locales como internacionales, así como otros requisitos externos de obligado cumplimiento en el área de TI.
De BAI02.01
Fuera del ámbito de COBIT 5 para Seguridad de la Información
Salidas Específicas de Seguridad (Adicionales a las Salidas de COBIT 5) Descripción A
Descripción Requerimient os de seguridad de la informació n Estándares y regulaciones de seguridad de la información
BAI02.01
Requerimientos externos de cumplimiento de seguridad de la informació n
Actividades Específicas de Segurida d (Adiciona le s a las Activida des de COBIT 5) 1. Establecer acuerdos para supervisar la conformidad de seguridad de la información con requerimientos externos. 2. Identificar objetivos de cumplimiento de seguridad de la información con requerimient os externos. 3. Determinar los requerimient os externos de cumplimiento que deben satisfacerse (incluyendo legales, regulatorios, de privacidad y contractuales). 4. Identificar y comunicar las fuentes de materiales relativos a seguridad de la información que ayuden a cumplir los requerimientos de cumplimiento externos. Entradas específicas de seguridad (Adicionales a las Entradas COBIT 5) Práctica de Gestión MEA03.02 Optimizar la respuesta a requisitos externos. Revisar y ajustar políticas, principios, estándares, procedimientos y metodologías para asegurar la adecuada gestión y comunicación de los requisitos legales, regulatorios y contractuales. Considerar qué estándares sectoriales, códigos de buenas prácticas y guías de mejores prácticas pueden adoptarse y adaptarse.
De Fuera del ámbito de COBIT 5 para Seguridad de la Información
Salidas Específicas de Seguridad (Adicionales a las Salidas de COBIT 5) Descripción A
Descripción Regulaciones aplicables
Requerimientos externos actualizados
Interno
Actividades Específicas de Segurida d (Adiciona le s a las Activida des de COBIT 5) 1. Revisar y comunicar los requerimient os externos a todos los grupos de interés relevantes. Entradas específicas de seguridad (Adicionales a las Entradas COBIT 5) Práctica de Gestión
De
Salidas Específicas de Seguridad (Adicionales a las Salidas de COBIT 5) Descripción A
Descripción
MEA03.03 Confirma r el cumplimie nt o de requisit os externos. Confirm ar el cumplimie nt o de las políticas, los principios, los estándares, los procedimient os y las metodologías con los requisitos legales, regulatorios y contract uales.
Informe de conformidad de calidad en la atención al cliente
Interno
Actividades Específicas de Segurida d (Adiciona le s a las Activida des de COBIT 5) 1. Recopilar y analizar los datos de conformidad relacionados con la gestión de la seguridad y de los riesgos de la información.
MEA03 Prácticas de Seguridad Específicos del Proceso, Entradas/Salidas y Actividades (cont.)
Práctica de Gestión MEA03.04 Obtener garantía delcumplimiento de requisit os externos. Obtener y notificar garantías de cumplimiento y adherencia a políticas, principios, estándares, procedimientos y metodologías. Confirmar que las acciones correctivas para tratar las diferencias en el cumplimiento son cerradas a tiempo.
Entradas específicas de seguridad (Adicionales a las Entradas COBIT 5) De Descripción
Salidas Específicas de Seguridad (Adicionales a las Salidas de COBIT 5) Descripción A Informes de aseguramiento de la conformidad
Interno
Actividades Específicas de Segurida d (Adiciona le s a las Activida des de COBIT 5) 1. Obtener evidencias de las terceras partes.
59
CONCLUSIONES
Ya dando por finalizado nuestro trabajo de investigación, concluimos como equipo de trabajo que las empresas a lo largo de su crecimiento son muy dependientes del uso de las tecnologías de información y esto se desarrolla de tal manera que se convierten en un factor clave ya que son herramientas estratégicas que dan apoyo y optimizan los procesos de la organización ya sean de poca relevancia o de un gran realce como lo son cumplir con metas del negocio teniendo como resultado satisfacer con el grado de satisfacción del cliente que viene a ser cumplir con las necesidades del cliente o usuarios en gestión .
Los servicios que brindan las tecnologías de información en la mayoría de los casos son parte de un todo, teniendo un enfoque holístico y de mando integral siendo parte fundamental para el negocio porque las tecnologías de información suelen desempeñarse en la calidad de los servicios que la organización brinda al consumidor logrando un adecuado desarrollo sostenible.
La gestión de servicios tiene como punto fundamental alinear los procesos de los servicios de las tecnologías de información con las necesidades de la organización, así mismo mantener un orden para desarrollar cada actividad de forma eficiente. Por ello aplicar un gobierno de tecnologías de información es parte fundamental para que toda organización pueda crecer previniendo riesgos durante su desarrollo.
Se encontraron ciertos riesgos e inconvenientes que pueden causar perjuicios a la empresa dentro del marco de referencia tales como que al momento de registrar la información esta debe ser legítima y sin alteraciones a conveniencia, además de un porcentaje mínimo de robo de información y daños al área de recursos humanos porque si bien es cierto que se pueda tener un sistema de alta calidad en lo que se refiere a la seguridad, siempre el factor humano será el punto débil para la organización.
60
Por último, de forma colectiva llegamos a la conclusión que aplicar un adecuado gobierno de tecnologías de información ayuda a toda empresa a reducir el porcentaje de riesgos, asimismo elevar sus ganancias y crecimiento como organización. Es por ello, la necesidad por parte de las empresas que suelen usar la tecnología en distintos procesos de su organización deben identificar que busca el cliente como también el porqué de su elección además de cómo se va brindar al cliente asiduo como también para el cliente nuevo logrando así ofrecer servicios que generen valor a la organización.
61
RECOMENDACIONES Este trabajo de investigación ofrece una guía clara y práctica, donde paso a paso se describe cada proceso enfocado a cómo llevar a cabo un adecuado gobierno de tecnologías de información.
Es recomendable que las empresas cuenten con una buena labor de reclutamiento que permita una adecuada selección del personal para así cumplir con las necesidades del cliente a nivel externo como interno para posterior realizar capacitaciones que optimicen cada actividad a realizar.
Un punto a favor para el desarrollo en toda investigación es que el equipo de trabajo debe estar completamente comprometido y unido para así poder identificar de forma clara los objetivos, metas de negocio y procesos de la empresa en gestión. Así como también poder indicar puntos de mejora. Es de suma importancia tener bien en claro la misión, visión, objetivos y políticas de la empresa para así poder tener de forma definida como van estar alineadas las metas de la organización y las de tecnologías de información, aplicando el marco de referencia a usar.
Se recomienda además que para toda organización siempre se debe buscar la forma de tener un programa de mejora continua que permita y promueva a cada miembro del negocio poder identificar las no conformidades y acciones correctivas y preventivas que formaran parte del manual de procesos de servicio al cliente. Como última recomendación, es de vital importancia contar con un proceso de certificación de calidad porque esto genera una ventaja competitiva en el mercado además de otorgar estandarización de los procesos y promueve una cultura enfocada en la capacidad y competencias de las personas. Un sistema de calidad permite que la organización identifique deficiencias oportunamente, por lo tanto, facilita la mejora de los mismos y la optimización de los riesgos. 62
REFERENCIAS BIBLIOGRÁFICAS De la Torre Morales, Martha, Giraldo Martínez, Ingrid y Villalta Gómez, Carmen. Ingeniero en Sistemas con mención en Informática para la Gestión. Guayagil: Universidad Politécnica Salesiana, 2012. Institute, IT Governance. COBIT 4.1. Rolling Meadows, EE.UU.: IT Governance Institute, 2007. ISACA. Cobit 5 para Seguridad de la Información. Rolling Meadows: ISACA, 2012. ISBN: 1604202548. Rocha, Álvaro. Revista Ibérica de Sistemas y Tecnologías de Información. Portugal: AISTI-Asociación Ibérica de Sistemas y Tecnologías de Información, 2015. ISBN: 1646-9895.
63