• Bookmark

Estableciendo una estructura de gobierno y gestión para el comercio electrónico usando COBIT 5

Por Chidi Henry Emeribe, CISA, COBIT 5 Foundation

COBIT Focus | 16 Marzo 2015 Inglés | Francés | Italiano | Japonés | Portugués

Una empresa con sede en Lagos, Nigeria, está en el negocio de las ventas y distribución de su marca de zapatos a través de puntos de venta físicos en el área de Lagos. En un intento por expandir sus operaciones a áreas fuera de sus puntos de venta físicos y también para tener una mejor presencia competitiva en el mercado nigeriano, el liderazgo de la empresa decidió usar el internet como la plataforma para satisfacer esta necesidad.


Se comisionó una consultoría para ayudarle a materializar su sueño de usar el internet como plataforma. La consultoría tuvo el siguiente mandato del consejo directivo y gerencia de la empresa:

  • Desarrollar un sitio web de comercio electrónico (e-commerce) para servir como un escaparate de la marca de zapatos de la empresa.
  • Proporcionar una estructura de gobierno y gestión para la plataforma de comercio electrónico para asegurar el manejo óptimo de los nuevos factores de riesgo que implican los negocios en una plataforma de internet. Además, asegurar que la plataforma se mantuviese en costos óptimos usando recursos óptimos.
  • Proporcionar soporte para el proyecto entero durante un periodo de tiempo amplio de manera que fungiera como la rama tecnológica del negocio de zapatos

Algunas de las características clave del sitio web incluyeron:

  • Un escaparate de exhibición para un producto; en este caso, marcas de zapatos.
  • La capacidad para navegar la oferta de productos, elegir una marca de zapatos, agregarla a un carrito de compras y pagar con una tarjeta de crédito o débito.
  • Registro obligatorio en el sitio antes de procesar cualquier transacción que recopile información de usuario en el sitio web.
  • Completar el procesamiento de pago a través de un proveedor tercero en cumplimiento de la Norma de Seguridad de Datos de la Industria de las Tarjetas de Pago (PCI DSS), con sede en un país de buena reputación.
  • Potenciamiento de comercio electrónico:
    • Gestión de existencias
    • Gestión de producto
    • Gestión de ordenes
    • Envíos

En otras palabras, además de ser el escaparate para la exhibición y compra de productos, el sitio web también alberga todos los procesos clave normalmente presentes en una pequeña tienda de mayoreo o minorista.


El presupuesto del proyecto del sitio web es limitado. Es por eso que la empresa decidió alojar el sitio en una plataforma de alojamiento compartido con un proveedor de alojamiento web de confianza con quien la consultoría ha trabajado durante los últimos 10 años. El software de código abierto (OSS) Drupal fue elegido como la plataforma de desarrollo web, en tanto que Drupal Ubercart impulsa el motor del comercio electrónico. Estas decisiones de plataforma tienen por objeto la optimización de costos, al tiempo que ofrecen un aseguramiento razonable en la prevención del consiguiente riesgo de interrupciones y ataques maliciosos.


La importancia de los procesos albergados en este pequeño sitio de comercio electrónico generó una serie de desafíos para la consultoría.


Los desafíos clave eran:

  • Asegurar la confidencialidad, integridad y disponibilidad de todas las transacciones en el sitio web.
  • Asegurar la privacidad de toda la información personal identificable (PII) almacenada en el sitio web.
  • Evitar el tiempo de inactividad del sitio web.
  • Administrar todo los proveedores de servicios terceros, teniendo en cuenta la importancia de los procesos a su cargo.

Poder manejar estos desafíos (factores de riesgo) efectivamente, al tiempo que se optimizaban costos y continuaba la generación de valor para las partes interesadas. La consultoría, como parte de su mandato de la empresa, decidió buscar guía en el marco de referencia COBIT 5.


Manejo de desafíos con la cascada de metas de COBIT 5

COBIT 5 tiene una cascada de metas que puede emplearse para relacionar las necesidades de las partes interesadas en cualquier empresa o proyecto con metas empresariales específicas, que, además, están soportados por metas relacionadas con TI. Estas metas relacionadas con TI también se vinculan con metas de habilitadores que fundamentan la consecución de los objetivos generales y de los requisitos de las partes interesadas.1


Como partes interesadas en este proyecto, las necesidades de la empresa giraban en torno al logro de beneficios a partir de la gestión del sitio web de comercio electrónico, con el uso de recursos óptimos y asegurando que todos los riesgos asociados con el alojamiento del sitio en internet son gestionados.


Estas necesidades se ajustaron a las siguientes metas empresariales en la cascada de metas empresariales de COBIT 5:2

  1. Riesgo de negocio gestionado
  2. Continuidad y disponibilidad del servicio del negocio
  3. Optimización de costos de entrega del servicio

Estas metas empresariales están soportadas por las siguientes metas relacionadas con TI:3

  1. Riesgo de negocio relacionado con TI gestionado
  2. Transparencia de costos, beneficios y riesgos de TI
  3. Seguridad de la información, infraestructura de procesamiento y aplicaciones
  4. Optimización de activos, recursos y capacidades de TI
  5. Disponibilidad de información fiable y útil para la toma de decisiones
  6. Personal de negocios y de TI competente y motivado

Los objetivos relacionados con TI se trazaron de acuerdo a los siguientes procesos, que son habilitadores de COBIT 5:4

  1. EDM02 Asegurar la entrega de beneficios
  2. EDM03 Asegurar la optimización del riesgo
  3. EDM04 Asegurar la optimización de recursos
  4. EDM05 Asegurar la transparencia de las partes interesadas
  5. APO01 Gestionar el marco de gestión de TI
  6. APO03 Gestionar la arquitectura de la empresa
  7. APO04 Gestionar la innovación
  8. APO06 Gestionar el presupuesto y costos
  9. APO07 Gestionar los recursos humanos
  10. APO09 Gestionar los acuerdos de servicio
  11. APO12 Gestionar riesgos
  12. APO13 Gestionar la seguridad
  13. BAI01 Gestionar programas y proyectos
  14. BAI04 Gestionar disponibilidad y capacidad
  15. BAI06 Gestionar cambios
  16. BAI09 Gestionar los activos
  17. BAI10 Gestionar la configuración
  18. DSS01 Gestionar las operaciones
  19. DSS02 Gestionar requerimiento de servicio e incidentes
  20. DSS03 Gestionar problemas
  21. DSS04 Gestionar la continuidad
  22. DSS05 Gestionar servicios de seguridad
  23. DSS06 Gestionar los controles de procesos de negocio
  24. MEA01 Monitorear, evaluar y valorar el desempeño y conformidad
  25. MEA02 Monitorear, evaluar y valorar el sistema de control interno
  26. MEA03 Monitorear, evaluar y valorar el cumplimiento con requisitos externos

El mapeo ofrece un panorama de los procesos que fueron necesarios para asegurar que el proyecto de la consultoría tuviera una estructura de gobierno y gestión.


Había que concentrarse en las dimensiones del habilitador y la gestión del desempeño del habilitador para lograr que los procesos fuesen extremadamente robustos.


Los procesos anteriores también deben ser considerados en conjunto con el resto de los habilitadores:

  1. Principios, políticas y marcos
  2. Estructuras organizacionales
  3. Cultura, ética y comportamiento
  4. Información
  5. Servicios, infraestructura y aplicaciones
  6. Personas, habilidades y competencias

También fue necesario concentrarse en las dimensiones de habilitador de COBIT 5 y la gestión de su desempeño.


Esto aseguró que la consultoría contara con las estructuras de gobierno y gestión para garantizar que las necesidades de las partes interesadas para el sitio de comercio electrónico fueran satisfechas con un uso óptimo de recursos y la optimización de todos los riesgos asociados con la elección de la plataforma de comercio electrónico (e-commerce).


Implementación

La implementación de COBIT 5 presentó un número de desafíos, incluyendo:

  • Por dónde empezar y qué implementar primero
  • Adaptar la terminología de guía de COBIT 5 con los requisitos específicos e identificables y entorno peculiar de la consultoría
  • Comprimir y compartir el cuadro de definición de responsabilidades por cargo (RACI) entre un grupo de funciones mucho más compacto
  • La mayoría de los procesos consideran los mismos objetivos relacionados con TI.

Lo siguiente fue hecho para superar los obstáculos de implementación:

  • La consultoría optó por una estrategia de implementación por fases, eligiendo implementar procesos y otros habilitadores que lograron victorias rápidas y luego seguir adelante con escenarios más complejos. Se dio prioridad a la orientación que contribuyó a la confidencialidad, disponibilidad e integridad del proyecto de comercio electrónico (e-commerce).
  • La consultoría aplicó terminología de COBIT 5 a sus terminologías específicas de objetivos empresariales y en organismos identificables.
  • Los cuadros de definición de responsabilidades por cargo (RACI) aportaron información sobre las funciones organizacionales que deben establecerse a fin de lograr los objetivos de proceso. Los anteriores se redujeron para ajustarse a las funciones existentes en la consultoría. Si bien se presentaron situaciones de redundancia, fue un vehículo para reforzar la propiedad de procesos dentro de la consultoría.
  • Cuando se mapearon los objetivos relacionados con TI a más de un objetivo de proceso, se usó la declaración del propósito del proceso y la descripción de la actividad para elegir cuál de ellas implementar como prioridad, teniendo en cuenta el objetivo del proyecto de comercio electrónico.

Se determinaron inicialmente los siguientes beneficios usando la Implementación de COBIT 5:

  • Los cuadros de definición de responsabilidades por cargo (RACI) personalizados de la consultoría ayudaron en el reforzamiento de la propiedad de procesos en toda la empresa.
  • La consultoría adoptó la guía paso a paso de las actividad de proceso de COBIT 5 para la consecución de metas y se desarrolló en una lista de tareas.
  • Los objetivos y métricas de proceso brindaron un panorama claro con respecto a los logros que eran necesarios.
  • Las entradas/salidas (I/Os) de prácticas de gobierno ofrecieron una robusta fuente de guía de recursos sobre las herramientas disponibles para lograr los objetivos de gobierno y de gestión.

Tras la implementación, los beneficios inicialmente identificados de instituir una estructura de gobierno no solo se han logrado exitosamente, sino que han ayudado a la consultoría a mantener procesos viables para la gestión, no solo del proyecto del sitio web de comercio electrónico, sino en la ejecución de las operaciones cotidianas de toda la empresa.


Un evento desencadenante

El proyecto del sitio web de comercio electrónico supuso enormes desafíos e introdujo un nuevo riesgo para el funcionamiento de la empresa y, por tanto, fungió como un evento desencadenante para que la consultoría adoptara el gobierno y gestión de sus procesos. Se adoptó COBIT 5 como un marco de orientación. Al final, se estableció una estructura integral de gobierno y gestión para la empresa.


Las funciones organizacionales y propiedad de proceso ahora están establecidas de manera más sólida, se crearon y optimizaron procesos y se han logrado en gran medida los objetivos empresariales de Gestionar un Riesgo de Negocios, Continuidad y Disponibilidad del Servicio del Negocio y Optimización de Costos de Entrega del Servicio .


Chidi Henry Emeribe, CISA, COBIT 5 Foundation

Actualmente es el consultor principal de Greengate Consult Limited, una consultoría de TI y ecología con sede en Nigeria. Tiene más de 12 años de experiencia en la industria de la TI. Su experiencia abarca las áreas de seguridad de la información, auditoría, gobierno y aseguramiento. También ha trabajado extensamente en las áreas de instalación, mantenimiento y soporte de infraestructura de sistemas de información. Emeribe tiene conocimiento práctico de gestión de TI y ciclo de vida de infraestructura, auditoría TI, gobierno de TI, entrega y soporte de servicio de TI, protección de activos de información, computación en nube y evaluaciones de capacidades de procesos.


Notas finales

1 ISACA, COBIT 5, 2012, pág. 17
2 Ibid, app. D, pág. 55
3 Ibid, app. B, pág. 49
4 Ibid, app. C, pág. 51

THIS WEBSITE USES INFORMATION GATHERING TOOLS INCLUDING COOKIES, AND OTHER SIMILAR TECHNOLOGY.
BY USING THIS WEBSITE, YOU CONSENT TO USE OF THESE TOOLS. IF YOU DO NOT CONSENT, DO NOT USE THIS WEBSITE. USE OF THIS WEBSITE IS NOT REQUIRED BY ISACA. OUR PRIVACY POLICY IS LOCATED HERE.