Este artículo es el segundo de una serie de 6 partes que analiza la aplicación práctica de un marco de gobierno de TI empresarial
(GEIT). Este artículo se centra en la planificación de la resolución del problema identificado en la
parte 1. En la parte 1, el problema identificado fue una dependencia de los controles identificados y diseñados por
la administración sin involucrar a nadie responsable de mirar la cartera de control desde la perspectiva de la empresa.
Esta falta de control de la supervisión de la cartera introdujo el riesgo de que la empresa no cumpla con los requisitos
regulatorios. Este artículo explica cómo diseñar una solución GEIT para abordar la falta de supervisión, que se denominará
gobernabilidad; ¿Quién necesita trabajar en ello? y cómo serán sus productos de trabajo, o resultados.
En las palabras de las personas que realizan la implementación de la gobernanza, el problema subyacente descubierto por
el equipo de auditoría interna (AI) es que hay una falta de supervisión adecuada. Esto sugiere que hay una comprensión
insuficiente de las necesidades de las partes interesadas; ningún mapeo de esas necesidades a objetivos empresariales,
relacionados con TI y habilitadores; y la falta de datos o métricas que prueben que el entorno de control interno está,
de hecho, diseñado y operando de tal manera que garantice que se cumplirán los requisitos de la empresa.
Lo que se necesita ahora es un diseño formal y una estructura en torno al gobierno, de modo que los requisitos de los
interesados se alineen con los objetivos empresariales y de TI. Cuando están correctamente alineados, las partes interesadas
pueden estar seguros de que cubren todos los requisitos identificados (externos e internos) y que se puede identificar
cualquier déficit de recursos. La creación de esta estructura formal proporcionará una visión completa del entorno de
control interno que se está careciendo actualmente. Recuerde que en COBIT, las partes interesadas se refieren principalmente
a aquellas que se encuentran internamente, como la junta directiva y el equipo de liderazgo ejecutivo.
Las barandillas para diseñar una estructura de gobierno y asignar recursos anticipan que debe crear y entregar valor a las partes interesadas al tiempo que garantiza el cumplimiento de todos los requisitos.
Los recursos son finitos, y siempre hay proyectos o prioridades en competencia. Eso significa que las partes interesadas deben definir cómo se asignan los recursos a las metas. Las barandillas para diseñar una estructura de gobierno y asignar recursos anticipan que debe crear y entregar valor a las partes interesadas al tiempo que garantiza el cumplimiento de todos los requisitos.
Diseñar una estructura GEIT
COBIT 5 se utiliza como marco para el diseño de la estructura de gobierno. COBIT 5 muestra cómo diseñar una estructura de gobierno y definir los roles que se necesitan para respaldarla. El proceso de diseño comienza con la comprensión de los requisitos de las partes interesadas. COBIT 5 tiene una muestra de requisitos de partes interesadas comunes, que se muestran en la figura 1.
Figura 1: Asignación de los objetivos empresariales de COBIT 5 a las preguntas de gobierno y gestión
Fuente: ISACA,
COBIT 5, EE.UU. 2012. Reimpreso con permiso.
La primera tarea es determinar qué requisitos pertenecen a la empresa y cuáles priorizar. Para simplificar este proceso,
el enfoque se coloca en una necesidad particular. Este problema en particular se rastreará a través del diseño de la
estructura de gobierno.
Para comprender la búsqueda de una auditoría y la creación de tareas dentro de un esfuerzo de implementación de gobierno,
es útil utilizar la
figura 1, Asignación de los objetivos empresariales de COBIT 5 al gobierno y las preguntas de gestión, desde
el marco de trabajo de COBIT 5. La falta de transparencia en las inversiones habilitadas por TI puede llevar a la observación
de que hay una falta de supervisión. La tabla de objetivos a preguntas ayuda a determinar qué objetivos empresariales
perseguir. En cuanto a la
figura 1, hay una necesidad de las partes interesadas que parece encajar: "¿Son transparentes el esfuerzo
total de TI y las inversiones?" En la tabla, esta necesidad se asigna al objetivo empresarial 5, "Transparencia
financiera".
El objetivo de la empresa se asignará a un objetivo relacionado con la TI, y luego se definirán los recursos adecuados
para apoyar el logro de ese objetivo. Los objetivos empresariales se asignan a los objetivos relacionados con TI en la
figura 2, que se pueden encontrar en el marco COBIT 5. En esta figura, la transparencia financiera se asigna
al objetivo 06 relacionado con TI, "Transparencia de los costos, beneficios y riesgos de TI".
Figura 2: Asignación de objetivos empresariales de COBIT 5 a objetivos relacionados con TI
Fuente: ISACA,
COBIT 5, EE. UU. 2012. Reimpreso con permiso.
La asignación final que debe hacerse es determinar qué recursos apoyarán el objetivo relacionado con la TI. La Figura 3 proporciona un mapeo de los objetivos relacionados con TI a los procesos, que son el principal determinante de los recursos en la estructura GEIT.
Figura 3: Asignación de objetivos relacionados con TI de COBIT 5 a procesos
Fuente: ISACA,
COBIT 5, EE. UU. 2012. Reimpreso con permiso.
En la figura 3, la meta 06 relacionada con TI está respaldada principalmente por 8 procesos diferentes en el modelo de referencia del proceso. El lugar para comenzar es con el proceso APO13 Gestionar la seguridad, ya que es donde la organización en este estudio de caso ha realizado una inversión significativa en el último año. APO13 se centra principalmente en el sistema de gestión de seguridad de la información (SGSI).
Definir los roles
El detalle del proceso APO13 se encuentra en
COBIT 5: Procesos Catalizadores
. Los procesos se desglosan en prácticas. Este es el nivel donde el trabajo se realiza realmente en la mayoría de los
casos. Cada práctica indica qué recursos se necesitan (entradas), qué hacer (descripción y actividades) y qué se producirá
(salidas).
La primera preocupación es comprender qué roles participarán en las prácticas de este proceso en la empresa. Cada proceso
tiene un asociado responsable, accountable, consultado e informado y un cuadro (RACI) que indica quién es responsable,
accountable, consultado e informado por la práctica. El enfoque principal en la determinación de roles estará en la rendición
de cuentas y la responsabilidad.
La tabla RACI para el proceso APO013 muestra que el director de seguridad de la información (CISO) es el responsable
en todas las prácticas. Tenga en cuenta que solo se puede asignar la rendición de cuentas a 1 rol. Esto garantiza una
dirección y un desarrollo coherentes de las métricas de rendimiento, que serán muy importantes más adelante. Hay 2 roles
que comparten la responsabilidad en cada una de las 3 prácticas en APO13, el director de información (CIO) y el gerente
de seguridad de la información (gerente de IS).
Cómo se ven los productos finales
Defina los productos de trabajo planificados que producirá cada rol.
El proceso APO13 Gestionar seguridad tiene 3 prácticas relacionadas. Estos son:
- APO13.01 Establecer y mantener un SGSI.
- APO13.02 Definir y gestionar un plan de tratamiento de riesgos de seguridad de la información.
- APO13.03 Monitorear y revisar el SGSI.
Los productos de trabajo deben definirse para cada práctica para comprender los requisitos generales de recursos. COBIT 5: Procesos Catalizadores proporciona resultados comunes creados por estas prácticas ( figura 4).
Figura 4 — Prácticas de gestión y resultados relacionados
Práctica |
Resultados |
APO13.01 |
Política SGSI, declaración de alcance SGSI |
APO13.02 |
Plan de tratamiento de riesgos de seguridad de la información, casos de negocios de seguridad de la información. |
APO13.03 |
Informes de auditoría del SGSI, recomendaciones para mejorar el SGSI. |
Fuente: ISACA, COBIT 5: Procesos Catalizadores , EE. UU., 2012. Reimpreso con permiso.
Cada producto de trabajo debe describirse con más detalle para facilitar la identificación y creación de los productos de trabajo (figura 5). La descripción de los productos de trabajo creados en el modelo de referencia de proceso se puede consultar en el apéndice B.2 Productos de trabajo de salida de nivel 1, figura 19 en COBIT Modelo de evaluación de procesos (PAM): Usando COBIT 5 . Los productos de trabajo APO13 se reproducen en la figura 5.
Figura 5 — Productos de trabajo de salida
Producto de trabajo |
Descripción |
Política de SGSI |
Una política, norma o práctica operativa que formará parte del SGSI. |
Declaración de alcance del SGSI |
Parte de la estrategia de la SGSI y la documentación de planificación o el esquema del programa SGSI |
Plan de tratamiento de riesgos de seguridad de la información. |
Parte del proceso de evaluación de riesgos del SGSI basado en el perfil de riesgo |
Casos de negocio de seguridad de la información. |
Solo si es necesario para un proyecto o programa de seguridad de la información. |
Informes de auditoría del SGSI |
Parte de los informes de auditoría interna o informes mensuales de seguridad de la información, que también se integrarán en un sistema de informes y respuesta de incidentes de seguridad. |
Recomendaciones para mejorar el SGSI. |
Parte del monitoreo y reporte normal del SGSI. Los asesores buscan o piden esto. |
Fuente: ISACA, COBIT Modelo de evaluación de procesos (PAM): Usando COBIT 5 , EE. UU., 2013. Reimpreso con permiso.
Planificación de proyectos: la próxima vez
El siguiente artículo de esta serie tratará sobre la creación de un plan de proyecto con plantillas, según corresponda, y demostrará qué trabajo y tiempo se necesitará para resolver el problema.
Peter C. Tessin, CISA, CRISC, CISM, CGEIT
Es gerente senior de Discover Financial Services. Lidera el grupo de gobierno dentro del riesgo de tecnología empresarial (BT). En esta función, él es responsable de garantizar que la política, los estándares y los procedimientos se alineen con los objetivos corporativos. Se desempeña como parte interna responsable de la gestión de exámenes regulatorios y es el enlace interno con la gestión de riesgos corporativos. Antes de este cargo, Tessin fue gerente de investigación técnica en ISACA, donde fue gerente de proyectos para COBIT 5 y dirigió el desarrollo de otras publicaciones relacionadas con COBIT 5, informes y artículos. Tessin también tuvo un papel central en el diseño de COBIT Online, el sitio web de ISACA que ofrece un acceso conveniente a la familia de productos COBIT 5 e incluye herramientas digitales interactivas para ayudar en el uso de COBIT. Antes de unirse a ISACA, Tessin era gerente senior de una firma de auditoría interna, donde dirigía los compromisos con los clientes y era responsable de los equipos de auditoría financiera y de TI. Anteriormente, trabajó en varias funciones de la industria, como personal contable, desarrollador de aplicaciones, consultor y consultor de sistemas contables, analista de negocios, gerente de proyectos y auditor. Ha trabajado en muchos países fuera de su país natal, incluidos Australia, Canadá, Francia, Alemania, Italia, Jordania, México y el Reino Unido.