top of page
Buscar
abogmariatuozzo
15 jul 20235 Min. de lectura

Políticas y Procedimientos para la Implementación Eficiente del Gobierno de TI.

Actualizado: 6 ago 2023




El gobierno de TI no sigue un patrón único en la implementación sino que debe utilizar las mejores prácticas en este campo: COSO, COBIT, ITIL, ISO 27002 (ISO 17799), ISO 38500, etc.


Se han desarrollado varios modelos diferentes de Gobierno de TI, algunos impulsados desde puntos de vista estratégicos y otros desarrollados a partir de procesos tácticos como la gestión de proyectos. Cada uno tiene sus fortalezas y debilidades; el negocio y la gestión de TI deben seleccionar el modelo de gobierno adecuado en función de las necesidades únicas del negocio.


COSO se estableció en 1985 para apoyar a la Comisión Nacional sobre Información Financiera Fraudulenta. En el enfoque COSO, el control interno es un proceso llevado a cabo por la junta directiva o la gerencia de la entidad para dar una seguridad razonable del cumplimiento de los objetivos dentro de algunas categorías específicas: eficacia y eficiencia de las operaciones; fiabilidad de la información financiera; cumplimiento de las leyes y reglamentos aplicables.


El marco interno de COSO comprende cinco áreas de interés que abarcan la actividad de los responsables del negocio:


  • Control medioambiental. Este tema establece el marco de actuación de todos los demás componentes del control interno. Los factores del entorno de control comprenden la integridad, los valores éticos, la delegación de autoridad, así como el estilo de actuación de la dirección en relación con los recursos humanos de la entidad.

  • Evaluación de riesgos. La entidad enfrenta muchos riesgos desde dentro o fuera de la organización. Dichos riesgos deben ser evaluados y asumidos. Los riesgos están relacionados con los objetivos de la organización y en este contexto deben evaluarse los riesgos. Después de esta evaluación, los riesgos deben gestionarse.

  • Actividades de control. Este número cubre las políticas implementadas para asegurar el cumplimiento de las directivas de gestión. Dichos controles aseguran que se tomen las acciones necesarias para evitar riesgos que amenacen el logro de los objetivos actuales. Las actividades de control comprenden una amplia gama de tareas tales como verificaciones, aprobaciones, así como conciliaciones, revisiones del desempeño operativo o seguridad de los activos.

  • Información y comunicación. Este tema asegura el circuito de información en el marco de la organización. El intercambio de información, utilizando los procedimientos de comunicación implementados, permite la retroalimentación así como el reporte de datos, interacción en beneficio del negocio, pero también denuncias. La comunicación efectiva debe cubrir la relación con todas las partes externas, como accionistas, clientes, proveedores y reguladores.

  • Supervisión. Este problema aborda la evaluación del rendimiento del sistema a lo largo del tiempo. A través de este proceso se detectan y analizan las debilidades del control interno para corregirlas y mejorar continuamente el comportamiento del sistema.


COBIT (Objetivos de control para negocios y tecnología relacionada) se distingue como un marco bien reconocido para el gobierno de TI y la auditoría de sistemas de TI de contabilidad. Está diseñado como una guía accesible para la gerencia, los usuarios, los auditores y todas las personas que utilizan la computadora para sus negocios con el fin de garantizarles la confidencialidad, integridad y disponibilidad de los datos y la información.


El marco COBIT consiste en un conjunto de objetivos de control de alto nivel estructurados en cuatro campos: planificación y organización, adquisición e implementación, provisión y mantenimiento de servicios, así como monitoreo. El conjunto de los cuatro campos incluye un número de 34 procesos TI, a los que se les ha asociado un objetivo de control de alto nivel.


La documentación de COBIT comprende otros parámetros de medición para el desempeño del sistema de TI y también el análisis de los controles de TI, como: prototipos de madurez, factores críticos de éxito, objetivos clave e indicadores clave de rendimiento.


ITIL (Biblioteca de infraestructura de tecnología de la información): representa el estándar de facto, a nivel mundial, para la gestión de servicios de TI. Sus objetivos se centran en alinear los servicios de TI con las necesidades presentes y futuras de las organizaciones, mejorar la calidad de los servicios entregados y reducir los costos a largo plazo de los servicios entregados. ITIL se enfoca en 7 direcciones principales:


  1. Entrega de servicios: cubre los procesos estratégicos asociados con la planificación y entrega de servicios de TI de calidad.

  2. Servicio de Soporte: implica procesos asociados con las actividades diarias de soporte y mantenimiento.

  3. Gestión de Infraestructura de Tecnologías de la Información y las Comunicaciones (TIC): cubre todos los procesos desde la identificación de los requisitos del negocio hasta la prueba, implementación y operación de los componentes de las TIC.

  4. Planificación para implementar la gestión de servicios: cubre procesos de tipo gestión de proyectos relacionados con el cambio organizacional y la planificación, implementación y mejora de la gestión de servicios;

  5. Gestión de aplicaciones: implica procesos a lo largo del ciclo de vida de la aplicación;

  6. La perspectiva comercial: describe los procesos relacionados con las formas en que el personal de TI puede alinear mejor sus roles y servicios con la organización para alcanzar mejor los objetivos comerciales;

  7. Gestión de la Seguridad: abarca los procesos asociados a la identificación y gestión de riesgos y la seguridad de los servicios TI.

La ISO 17799 conocida hoy como ISO 27002 "Tecnologías de la Información - Código de buenas prácticas para la gestión de las tecnologías de la información" representa una guía para implementar un conjunto de políticas, prácticas y procedimientos con el fin de consolidar la seguridad de la información administrada por una organización. La implementación de este estándar representa una ventaja competitiva para cualquier organización demostrando que la seguridad de la información es un proceso bien controlado.

ISO/IEC 27002 requiere que la gestión:

  1. Examine sistemáticamente los riesgos de seguridad de la información de la organización, teniendo en cuenta las amenazas, vulnerabilidades e impactos;

  2. Diseñe e implemente un conjunto coherente y completo de controles de seguridad de la información y/u otras formas de tratamiento de riesgos (como la evitación de riesgos o la transferencia de riesgos) para abordar aquellos riesgos que considere inaceptables; y

  3. Adopte un proceso de gestión general para garantizar que los controles de seguridad de la información continúen satisfaciendo las necesidades de seguridad de la información de la organización de forma continua.

ISO 38500 "Gobierno corporativo de la tecnología de la información" establece un conjunto de reglas para el nivel superior de las organizaciones con el fin de ayudarlas a cumplir con sus obligaciones legales, reglamentarias y éticas con respecto al uso de TI por parte de sus organizaciones. Este nuevo estándar se basa en seis principios clave:


  1. Responsabilidad. Los miembros dentro de la organización, incluidos aquellos con responsabilidad en las acciones, deben comprender y aceptar sus capacidades con respecto tanto a la oferta como a la demanda de TI.

  2. Estrategia. Los planes estratégicos de TI deberán satisfacer las necesidades actuales y continuas de la estrategia de negocio de la organización.

  3. Adquisición. Las adquisiciones de TI se realizarán con un equilibrio apropiado entre beneficios, oportunidades, costos y riesgos, tanto a corto como a largo plazo.

  4. Rendimiento. TI debe cumplir con los requisitos comerciales actuales y futuros.

  5. Conformidad. TI deberá cumplir con todas las leyes y reglamentos obligatorios.

  6. Comportamiento Humano. Las políticas, prácticas y decisiones de TI deberán observar las necesidades actuales y cambiantes de todas las "personas en el proceso".


ISO 38500 estableció tareas precisas sobre el gobierno de TI para los directores. Se observarán tres direcciones: Evaluar, Dirigir y Supervisar. La implementación del gobierno de TI en sí debe seguir un enfoque claro, es decir:

  • El gobierno de TI debe estar alineado con prácticas sólidas de Gobierno Corporativo,

  • El gobierno de TI debe obedecer el enfoque de la empresa en la zona fronteriza del Gobierno Corporativo,

  • Regulará todas las cuestiones relacionadas con las actividades de TI de la empresa,

  • Deberá estar diseñado sobre principios y objetivos de fácil comprensión y seguimiento por parte de todos los stakeholders.

ISO 38500 ayuda al nivel superior de la empresa (nivel de toma de decisiones) a monitorear y evaluar las actividades de TI para cumplir con los requisitos de TI a fin de apoyar el desarrollo de la organización.


María Alejandra Tuozzo M. Abogada. Especialista en contratos y gobierno corporativo.

abog.mariatuozzo@gmail.com


Para representación legal, contáctame por mensaje de texto vía WhatsApp. Por allí le proporcionaré información necesaria para que pueda exponerme su caso.



También puede contactarme por mensaje en sección de contacto.


Asesoría legal online gratuita, por grupo de Facebook, escanee código QR desde su teléfono celular. No damos asesoría gratuita por mensajería de WhatsApp.




13 visualizaciones0 comentarios

Comments

Rated 0 out of 5 stars.
No ratings yet
Add a rating
bottom of page