Implementacin de Gobierno de TI usando Cobit, Caso de Estudio:
Instituto Politcnico Viana do Castelo.
Edgar Columba, Publio Estupian, Luis Soria Maestra en Gestin de las Comunicaciones y Tecnologas de la Inormacin, Escuela Polit!cnica "acional ##$%&$#& Abstract.- En este artculo se presenta el caso de estudio de la adopcin de COIT para la implementacin de un Gobierno de TI en el Instituto Politcnico de Viana do Castelo, este centro de estudios posee !arias escuelas de educacin superior distribuidas a lo lar"o de la re"in norte de Portu"al. Este documento pretende mostrar la importancia de la implementacin de un Gobierno de TI con la a#uda de COIT como marco de re$erencia, el an%lisis parte con una introduccin sobre la situacin actual del Gobierno de TI en las uni!ersidades # en otros sectores, e&plora los conceptos de Gobierno de TI, Gobierno Corporati!o # COIT para mostrar sus bene$icios. Para este caso las $ases de estudio inclu#en: antecedentes del Instituto Politcnico Viana do Castelo IPVC, estructura or"ani'acional # problem%tica. Para la implementacin del Gobierno de TI en el IPVC se anali'a el mapeo de los procesos de TI con los dominios de COIT # las acti!idades reali'adas. (e presentan al"unos e)emplos de los procedimientos, dia"ramas de $lu)o le!antados # documentados se"*n la norma I(O +,,-, # el sistema de "estin de la calidad .ue tiene certi$icado. /inalmente se da a conocer al"unos de los indicadores .ue lo"raron me)orarse con la adopcin de COIT como marco de Gobierno de TI # se presentan los resultados de la adopcin de este marco de traba)o. I' I"T()*+CCI," Las tecnologas y los sistemas de inormacin son -erramientas indispensables para el adecuado uncionamiento de todo tipo de organi.acin para este caso en particular de las uni/ersidades, donde se re0uiere de la operacin, control, seguimiento y me1oramiento de procesos, as como para la toma de decisiones operacionales, t2cticas y estrat!gicas' La gestin de las TI en las uni/ersidades as como en la mayora de organi.aciones, se -a centrado en lograr una administracin eiciente de los recursos tecnolgicos como soporte undamental del resto de ser/icios' Por lo tanto, a m2s de las TI, se re0uiere de un gobierno 0ue pro/ea una estructura 0ue permita determinar los ob1eti/os de la organi.acin y super/isar el rendimiento3 con el in de asegurar 0ue los ob1eti/os estrat!gicos empresariales se cumplan' Sin embargo, no con/iene concebir las TI slo como elementos t2cticos de las uni/ersidades, no deberan gestionarse /erticalmente, o planiicarse de manera aislada, sino 0ue tendran 0ue ormar parte de la planiicacin global de la uni/ersidad, pues tienen un car2cter estrat!gico y -ori.ontal' *e esta manera se alcan.ar2 la m24ima eiciencia y las TI dar2n /alor agregado a los procesos 0ue posee la uni/ersidad' 5ctualmente, los Gobiernos de TI 6IT Go/ernance7 se encuentran implantados con !4ito en otros sectores como banca, seguros, industria, etc' con claros resultados satisactorios en la mayora de casos' +n Gobierno de TI eecti/o, ayuda a garanti.ar las metas del negocio, optimi.ar la in/ersin en TI y administrar de orma adecuada los riesgos y oportunidades asociados a la TI89:' Por lo tanto, el establecimiento de un Gobierno de TI en el Instituto Polit!cnico ;iana do Castelo <IP;C, permiti 0ue la e1ecucin se lle/e a cabo a tra/!s de una planiicacin estrat!gica integral de las TI alineada con los ob1eti/os globales de la organi.acin' Para ello, las principales responsabilidades relacionadas con la planiicacin de las TI deben recaer y ser apoyadas directamente por la alta direccin uni/ersitaria 6(ectores, Gerentes y ;icerrectores7' II' G)=IE(") *E TI > C)=IT Las organi.aciones deben cumplir con re0uerimientos de calidad, iduciarios y de seguridad, tanto para su inormacin como para los acti/os' La direccin de TI deber2? adem2s optimi.ar el empleo de recursos disponibles, los cuales incluyen@ personal, inraestructura, tecnologa, sistemas de inormacin y datos89:' C)=IT ayuda a satisacer las mAltiples necesidades de gobierno, estableciendo un puente entre los riesgos del negocio, los controles necesarios y los aspectos t!cnicos3 pro/ee buenas pr2cticas y presenta acti/idades en una estructura mane1able y lgica' Las Bbuenas pr2cticasC de C)=IT agrupan el consenso de e4pertos D0uienes ayudar2n a optimi.ar la in/ersin de la inormacin y
proporcionar2n un mecanismo de medicin 0ue permita 1u.gar cuando las acti/idades /an por el camino e0ui/ocado8E:' El impacto sobre los recursos de TI son resaltados en el Marco de (eerencia de C)=IT 1unto con los re0uerimientos del negocio 0ue deben ser alcan.ados@ eiciencia, eecti/idad, conidencialidad, integridad, disponibilidad, cumplimiento y coniabilidad de la inormacin' El control incluye@ polticas, estructuras, pr2cticas y procedimientos organi.acionales 0ue son responsabilidad de la gerencia' La gerencia, mediante este gobierno corporati/o debe asegurar 0ue todos los in/olucrados en la administracin, uso, diseo, desarrollo, mantenimiento u operacin de sistemas de inormacin actAen con la debida diligencia' El eno0ue en el negocio es el tema principal de C)=IT, est2 diseado no slo para ser utili.ado por usuarios y auditores, sino 0ue, est2 diseado para ser utili.ado por los propietarios de los procesos de negocio como una gua clara y entendible' Los dueos de los procesos deben ser responsables de todos los aspectos relacionados al negocio3 en particular, el proporcionar controles adecuados8F:' El Marco de (eerencia C)=IT consta de un con1unto de G& )b1eti/os de Control de alto ni/el, uno para cada uno de los Procesos de TI, agrupados en cuatro dominios@ #' Planiicacin y )rgani.acin, 9' 5d0uisicin e Implementacin, G' Entrega de ser/icios, &' Soporte y Monitori.acin' Hsta estructura cubre todos los aspectos de la inormacin y de la tecnologa 0ue lo soporta' +n )b1eti/o de Control en TI es una deinicin del resultado o propsito 0ue se desea alcan.ar implementando procedimientos de control especicos dentro de una acti/idad de TI' 5dministrando adecuadamente estos G& )b1eti/os de Control de alto ni/el el propietario de procesos de negocio podr2 asegurar 0ue se proporciona un sistema de control adecuado para el ambiente de tecnologa de inormacin89:' III' G)=IE(") C)(P)(5TI;) > G)=IE(") *E TI Para lograr el !4ito en esta economa de inormacin, el gobierno corporati/o y el gobierno de TI no pueden ser consideradas como disciplinas separadas una de otra' Las acti/idades de la empresa re0uieren inormacin de las acti/idades de TI con el in de satisacer los ob1eti/os del negocio8E:' )rgani.aciones e4itosas aseguran la interdependencia entre su plan estrat!gico y sus acti/idades de TI, es decir, TI debe estar alineado y debe permitir a la empresa tomar /enta1a total de su inormacin para incrementar sus beneicios, ma4imi.ar las oportunidades y ganar /enta1a competiti/a8I:' Para asegurar 0ue la Gerencia cumpla con los ob1eti/os de negocio, !sta debe dirigir y administrar las acti/idades de TI para alcan.ar un balance eecti/o entre la gestin de riesgos y los beneicios encontrados' La gerencia necesita identiicar las acti/idades m2s importantes 0ue deben ser desarrolladas, midiendo el progreso -acia el cumplimiento de las metas y determinando la adecuada e1ecucin en el desarrollo de procesos de TI' 8G:' +na orma de resol/er estos problemas -a sido suministrada por el Marco (eerencial de C)=IT 6)b1eti/os de Control para Inormacin y Tecnologa (elacionada7, 0ue es el est2ndar abierto para el control de la tecnologa de Inormacin, desarrollada y promo/ida por el Instituto de Gobierno de TI' I;' 5CE(C5 *EL IP;C > S+ P()=LEM5TIC5 El Instituto Polit!cnico de ;iana do Castelo 6IP;C7 es una institucin de educacin superior pAblica undada en #JK%, locali.ada en Portugal y tiene una estructura organi.ati/a 0ue esta conormada por /arias escuelas 6o unidades org2nicas7 0ue se asocian con una misma misin' La dispersin geogr2ica acilita el compromiso con el desarrollo sostenible de la regin, cuyo tamao y pro4imidad permite a los proesores y estudiantes, crear relaciones para estimular la ormacin personal y proesional' El IP;C integra seis unidades o escuelas 6Escuela Superior de Educacin, Escuela Superior 5graria, Escuela Superior de Tecnologa y 5dministracin, Escuela Superior de Ciencias Empresariales, Escuela Superior de Salud, Escuela Superior de Ser/icios Centrales y Ser/icios Sociales7' Las escuelas superiores est2n orientadas a proyectos de ensean.a y ser/icios sociales prestados a los estudiantes' La central de ser/icios asegura la coordinacin institucional de las acti/idades de administracin de personal y la coordinacin de los dierentes departamentos como@ patrimonial,
administrati/a, planiicacin global inanciera y t!cnica' Tomando en cuenta la e/olucin de la sociedad y de las leyes, el IP;C implement un Sistema de Gestin de Calidad 6SGC7 0ue le permiti asegurar la certiicacin IS) J%%#' El SGC cubre las acti/idades de Planiicacin Estrat!gica y Gestin, Educacin$Capacitacin y soporte del IP;C' El conocimiento 0ue se tiene de cada escuela no siempre permite una gestin global de la inormacin disponible, lo 0ue re0uiere una mayor utili.acin de recursos y la p!rdida innecesaria de tiempo3 cada escuela tena su propio modelo de gestin y departamento de inorm2tica, esto se resol/i con la implementacin de me1oras a la inraestructura 6uso ibra ptica7, se me1or la intercone4in y se centrali.o /arios de los ser/icios 6acad!micos, recursos -umanos, contabilidad7, sin embargo continuaba con di/ersos sistemas de inormacin gestionados por una unidad de inormacin en cada escuela' La gestin de estos sistemas no era eiciente y presentaba muc-as brec-as en t!rminos de organi.acin especialmente en la inraestructura de red, gestin de accesos a los sistemas, diicultades para el monitoreo, diicultades en la gestin de respaldos, etc' Por otra parte, el IP;C me1or sus centros de datos d2ndoles mayor disponibilidad 6recuperacin ante desastres, almacenamiento de copias de seguridad y ser/icios Leb7 a la comunidad 6por e1emplo, a las autoridades locales7' Teniendo en cuenta la e/olucin de los sistemas de inormacin y de TI, se anali. tambi!n la implementacin de IS) J%%# en el campo de las IT 6SGC en los proceso de Gestin de los Sistemas de inormacin7' La implementacin de la norma IS) J%%# sigue dos directrices@ por un lado asegurar la certiicacin IS) J%%# y la otra, desarrollar el traba1o para gestionar y controlar la TI, para crear mecanismos 0ue aseguren una certiicacin en otras normas, por e1emplo, la seguridad de la inormacin IS) 9E%%%8#:' ;' M5PE) *E L)S *)MI"I)S *E C)=IT C)" P()CES)S *E L5 IS) J%%# Luego de re/isar /arios est2ndares y e/aluar los casos de !4ito de C)=IT en otros sectores se decidi adoptar este marco para la implementacin de un Gobierno de TI en el IP;C, bas2ndose en los subprocesos del SGC de la IS) J%%# en los cuatro dominios de C)=IT8#:' Planear y Organizar los sistemas de informacin SI Este dominio cubre las estrategias y las t2cticas, consiste en identiicar la manera en 0ue TI puede contribuir de la me1or manera al logro de los ob1eti/os del negocio89:' Entradas: (alidas: "ecesidad de *einir un Plan estrat!gico de TI' Estrategias para e/aluar la calidad de los SI' Plan Estrat!gico de TI' Plan de Calidad de TI' Procedimientos para la 5dministracin de Proyectos' 0cti!idades: P)#'9 5lineacin de TI con el "egocio P)#'& Plan Estrat!gico de TI P)#'F Planes T2cticos de TI P)K'# Sistema de 5dministracin de Calidad P)#%'G Eno0ue de 5dministracin de Proyectos Tabla -: Proceso Planear y )rgani.ar Para cada acti/idad, el IP;C elabor un procedimiento de acuerdo a la IS) J%%#, los documentos -abilitantes consisten de un diagrama de lu1o, registros, documentos y la asignacin de responsabilidades de los in/olucrados' En la igura #, se puede obser/ar el lu1o de procedimiento para la elaboracin de los planes t2cticos de TI, P)#'F de C)=IT' /i"ura -: Procedimiento para elaborar los planes t2cticos de TI@ Mlu1o de procesos, *ocumentos y (esponsables' Muente 8#:' Adquirir y Organizar los SI Para lle/ar a cabo la estrategia de TI, se debe identiicar las soluciones de TI, desarrolladas o ad0uiridas, implementadas e integradas en los procesos del negocio89:' Este proceso deine los procedimientos para la ad0uisicin, instalacin y mantenimiento de los componentes de la inraestructura tecnolgica del IP;C8#:'
Entradas: (alidas: "ecesidad de establecer procedimientos para ad0uirir, instalar y mantener los componentes de la inraestructura de TI' Plan estrat!gico de TI' Plan Estrat!gico de TI' Plan de Calidad de TI' Procedimientos para la compra, implementacin y mantenimiento de los componentes de TI' 0cti!idades: 5IG'# Plan de 5d0uisicin de Inraestructura Tecnolgica Tabla 1: Proceso 5d0uirir e Implementar El ob1eti/o de esta acti/idad es deinir los pasos para ad0uirir los componentes de TI y cubre desde la solicitud -asta la implementacin y mantenimiento del componente' Entregar y Dar Soporte a los SI El alcance de este dominio aplica a la entrega de los ser/icios re0ueridos, lo 0ue incluye la prestacin del ser/icio, administracin de la seguridad y de la continuidad, el soporte del ser/icio a los usuarios, administracin de los datos y de las instalaciones operati/as89:' Entradas: (alidas: "ecesidad de establecer procedimientos para garanti.ar la disponibilidad de los SI y TI' Procedimientos de soporte de TI' Plan Estrat!gico de TI' Plan Estrat!gico de TI' Plan de Calidad de TI' Procedimientos para la compra, implementacin y mantenimiento de los componentes de TI' 0cti!idades *isponibilidad de (ecursos de TI Gestin de Incidentes 5dministracin de *atos Gestin de la Coniguracin Gestin de la Seguridad de la inormacin Gestin del (endimiento y de la Capacidad Gestin de la Continuidad 5dministracin de las )peraciones de TI Tabla 2: Proceso Entregar y *ar Soporte El procedimiento para la Gestin de incidencias incluye el diagrama de lu1o para resol/er un incidente, los documentos, registros y el personal in/olucrado en la resolucin' Monitorear y evaluar los sistemas de informacin. Todos los procesos de TI deben e/aluarse de orma regular en el tiempo, en cuanto a su calidad y cumplimiento de los re0uerimientos de control'89:' Entradas: (alidas: "ecesidad de establecer procedimientos para monitorear, probar y e/aluar la calidad de los ser/icios de TI' Procedimientos para el monitoreo de la inraestructura de TI' (eportes de rendimiento de los ser/icios de TI' 0cti!idades Procedimientos para monitorear y controlar los componentes de la inraestructura de TI' Tabla 3: Proceso Monitorear y E/aluar Cada procedimiento tiene su propio reporte y registros de monitoreo en una base de datos 0ue es actuali.ada en cada acti/idad reali.ada' Para acilitar el acceso a los documentos, registros, cronogramas, ormularios y procesos del SGC, el IP;C desarrollo un sistema llamado B;irtual SecretariatC, esta -erramienta adem2s acilita, la gestin de peticiones, el monitoreo de los ser/icios y el an2lisis de la eicacia de la inraestructura de TI as como los controles' 5ctualmente el IP;C esta desarrollando algunas operaciones y caractersticas 0ue permitan la automati.acin de an2lisis de indicadores determinados en los procesos de Gestin de los SI deinidos por C)=IT' ;I' I"*IC5*)(ES *EL G)=IE(") *E TI =5S5*)S E" C)=IT > (ES+LT5*)S El IP;C para cubrir con el monitoreo y control de su Gobierno de TI implant /arios indicadores y m!tricas, el caso de estudia presenta los principales se lista en la Tabla F@ 4 5trica 5eta Periodo # "Amero de incidencias pro/ocadas por inadecuada capacitacin N#%% anual 9 "Amero de interrupcin de ser/icios 0ue causaron p!rdidas de operacin N#F% anual G Tiempo promedio de resolucin de incidentes -asta & das anual & Total de incidentes locales NF% O anual F E/entos resueltos y inali.ados PI% O anual I Total de incidentes reabierto N9% O anual E "Amero de respados de datos PJ% mensual
crticos O K "Amero de pruebas de respaldos reali.ados PJ% O mensual Tabla 6: Lista de indicadores de disponibilidad en cumplimiento con C)=IT' Estos indicadores ueron medidos entre los aos 9%%E 6antes de la adopcin de C)=IT7 y 9%%K 6un ao despu!s de la adopcin de C)=IT7, y e/idencia una notable me1ora en los procesos de gestin de TI' Las Miguras 9 y G muestra la comparacin de indicadores@ /i"ura 1: Comparacin de los indicadores # y 9 en los aos 9%%E y 9%%K' Muente 89: /i"ura 2: Comparacin de los indicadores &, F y I en los aos 9%%E y 9%%K' Muente 89: Cabe mencionar 0ue con la implementacin de C)=IT, di/ersos planes ueron desarrollados 6planes de contingencia, de seguridad, etc'7 as como tambi!n polticas, procedimientos y acti/idades y ueron publicados en su SGC para 0ue todo el personal del IP;C tengan acceso' ;II' C)"CL+SI)"ES 5nteriormente sin la adopcin del marco de gobierno, los SI y TI del IP;C se encontraban dispersos y la gestin era dierente en cada unidad de TI, gracias a la adopcin de C)=IT, el IP;C pudo centrali.ar la gestin y me1orar el control y monitoreo de sus procesos de TI' Esta me1ora en el control y la gestin, produ1o una notable eiciencia de los procesos de TI' Por e1emplo, el tiempo promedio para atender una incidencia se redu1o de & a 9,F das 69FO7, esta me1ora se debe a 0ue a-ora el IP;C cuenta un proceso de gestin de incidentes basados en los lineamientos de C)=IT3 redu1o el tiempo de e1ecucin de acti/idades en un 9FO apro4' ya 0ue a-ora todos sus procesos cuentan con procedimientos, tiempos 0ue deben cumplir, m!tricas y responsables3 logr mayor eiciencia en el seguimiento y control de los componentes de la inraestructura tecnolgica, debido a 0ue a-ora cuenta con un procedimiento para el monitoreo y reportes de la Inraestructura de TI3 el contar con un procedimiento para medir el rendimiento de los procesos y ser/icios de TI, ayud en la reduccin en un J%O del numero de allas en las comunicaciones, al conocer el rendimiento de los procesos, el 2rea de TI del IP;C puede reaccionar proacti/amente cuando note cadas en los rendimientos' Sin embargo, e4isten algunas cuestiones 0ue deben ser garanti.adas dentro de las polticas del IP;C, como@ la necesidad de una capacitacin continua en C)=IT, especialmente para a0uellos colaboradores menos recepti/os al proceso de cambio' Es necesario poner de maniiesto 0u! el modelo de gobierno de las TI en las uni/ersidades diiere del modelo e4istente en las empresas, y como consecuencia, las uni/ersidades no implementan est2ndares -abituales en otro tipo de organi.aciones' Por lo 0ue se propone lle/ar a cabo una recopilacin de los e1emplos de buenas pr2cticas en el 2mbito uni/ersitario 0ue -ayan tenido !4ito, as como a0uellos casos 0ue, -abiendo encontrado diicultades, permitan obtener ensean.as' Se deben tambi!n comparar buenas pr2cticas entre uni/ersidad y as acilitar el estudio de C)=IT a tra/!s del desarrollo de -erramientas de e/aluacin' (EME(E"CI5S 8#: IT Go/ernance using C)=IT implemented in a Qig- Public Educational Institution, Case Study@ Polytec-nic Institute o ;iana do Castelo, Rorge (ibeiro, (ui Gomes, C)MP+TI"G and C)MP+T5TI)"5L I"TELLIGE"CE, 9%%J' 89: Cobit &'#, IS5C5, 9%%E' LLL'isaca'org 8G: IT Go/ernance Sel 5ssessment in Qig-er Education =ased on C)=IT Case Study@ +ni/ersity o Mercu =uana, Mu1iono SadiSin y otros, Rournal o 5d/anced Management Science ;ol' 9, "o' 9, Rune 9%#G' 8&: *esigning Inormation Tec-nology Strategic Plan using Cobit MrameLorS /'&'# or =QM" +ni/ersities Case Study @ Institut TeSnologi
=andung, (' Edi Triono "uryatno y otros, 9%#%' 8F: CobIT MrameLorS or IT Go/ernance T 5nalysis and e4perience, Udra/So VraSar, y otros, 9%%E' 8I: IT Go/ernance based on CobiTW &'# < 5 Management Guide, Voen =rand X Qarry =oonen, ;an Qaren Publis-ing, 9%%E'