Download Carlos Mario Carmona Ramírez...
Modelo de Gobernabilidad basado en COBIT para la Gestión por Procesos Definida en un Espacio Multidimensional
Carlos Mario Carmona Ramírez
Una disertación Presentada a la Facultad de Ingeniería de la Universidad de Medellín, para la realización parcial de los requisitos para el grado de Magíster en Ingeniería de Software
Medellín, Colombia 2013
Model of Governance Based on COBIT for Process Management in a Multidimensional Space Defined
Carlos Mario Carmona Ramírez
A dissertation is presented to the Engineering Faculty of the University of Medellín, as part of the requirements to obtain a Magister in Software Engineering
Medellín, Colombia 2013
Estudiante de Maestría: Carlos Mario Carmona Ramírez
Director del trabajo de grado: Ph.D. Marta Silvia Tabares Betancur Profesor Asociado de la Universidad de Medellín
Copyright Carlos Mario Carmona Ramírez 2013
iii
Resumen Las organizaciones están compuestas por diversas áreas que enfocan sus esfuerzos en la consecución de objetivos que en primera instancia pueden parecer que apuntan a metas divergentes. Por esto, la implementación de las tecnologías de la información suele ser tratada como un esquema alterno a los objetivos de la organización sin tener en cuenta que hace parte integral y que posibilita la construcción de elementos más eficaces y eficientes para alcanzar las metas y estrategias del negocio.
Desde la organización, los Procesos de Negocio (PN) son los que deben vincular las diversas áreas de la organización incluyendo las Tecnologías de Información y Comunicaciones (TIC). Estos deben incorporar de manera integral cada una de las actividades que se realicen en la organización para la toma de decisiones y apoyarse en las TIC para que el logro de las estrategias del negocio sean coherentes a las metas organizacionales.
Además es muy
importante para las organizaciones poder realizar la gestión del cambio bajo esquemas que mantengan la alineación entre el negocio y las TIC.
Por esto es necesario que la
gobernabilidad bajo un esquema arquitectónico empresarial oriente diferentes tipos de decisiones
durante
la
gestión vii
por
procesos.
Esta disertación define un nuevo modelo de gobernabilidad basado en COBIT 5 que apoya la gestión por procesos, por la ocurrencia de cambios en la organización, definida en el espacio multidimensional (MEM) propuesto por (Tabares & Lochmuller, 2012).
Esto se logró usando un método de investigación desarrollado en tres fases. Inicialmente se hizo un análisis del entorno y de la base del conocimiento alrededor de un espacio multidimensional para la gestión por procesos y la gobernabilidad desde un framework basado en SOA (Service Oriented Architecture). Luego, se determinó el espacio de diseño que incluiría los componentes COBIT articulados con el MEM, el framework AUT-SOA y Framework TOGAF.
Finalmente en la última fase se validó el
modelo propuesto de
gobernabilidad desde un estudio de caso donde se realiza la gestión por procesos sobre uno de los productos que actualmente lidera una compañía de telecomunicaciones. Los resultados obtenidos orientan una nueva forma de evaluar, medir y controlar la gestión por procesos realizada por medio de las intercepciones que se presentan bajo el esquema del espacio multidimensional.
Así se logra concluir que el modelo propuesto es un nuevo
instrumento que alinea el gobierno de TI en función de los procesos de la organización.
viii
Abstract Organizations are comprised of different areas that focus their efforts on achieving objectives, which may at first seem to point to divergent goals. The implementation of information technology is therefore often viewed as outside the objectives of the organization, and is not considered an integral part of them which enables the construction of more effective and efficient components to achieve the goals and strategies of the business.
It is the Business Processes (BP) of the organization that must connect the various areas together including Technologies Information and Communications Technologies (TIC). They should comprehensively incorporate all decision making activities within the organization and rely on TIC in such a way that the achievement of business strategies are consistent with organizational goals.
It is also very important for organizations to perform change
management using schemes that maintain the alignment between the business and TIC. It is therefore necessary that the governance under a corporate architectural scheme guides different types of decisions during the management of the processes.
This dissertation defines a new governance model based on COBIT 5 for process ix
management, that is motivated by changes that occur in an organization, taking into account the "multidimensional space" (MEM) proposed by (Tabares & Lochmuller, 2012).
This was achieved using a method of investigation implemented in three phases.
This
involved an initial analysis of the environment and the knowledge base around a multidimensional space for management by processes and the governance based on an SOA (Service Oriented Architecture) framework. This was followed by the design definition phase that would include the COBIT components articulated with multidimensional space model, the AUT- SOA framework and TOGAF framework. The final phase included the validation of the proposed governance model using a case study, where management by processes was performed on one of the existing leading products of a telecommunications company. The results indicate a new way to assess, measure and control management of the processes by means of information captured under the multidimensional space model. Through this it is possible to conclude that the proposed model is a new instrument that aligns IT governance to organizational processes.
x
Acrónimos ADM: Architecture Development Method AE: Arquitectura Empresarial BAM: Business Activity Monitoring BPA: Business Process Automation BPM: Business Process Management CMMI: Capability Maturity Model Integration COBIT: Control Objectives for Information and Related Technology CORE: Concern Oriented Requirements Engineering CRM: Customer Relationship Management DoD: Departamento de Defensa de Estados Unidos ITIL: Information Technology Infrastructure Library MEM: Modelo del Espacio Multidimensional OECD: Organization for Economic Co-operation and Development PN: Procesos de Negocio SEI: Software Engineering Institute SOA: Service Oriented Architecture TI: Tecnología de Información TOGAF: The Open Group Architecture Framework WFM: Wired for Management xi
Glosario Espacio Multidimensional: Abstracción del espacio con más de tres dimensiones, a diferencia del espacio habitual (estudiado en la geometría elemental).
En el espacio
multidimensional de n dimensiones, la posición de un punto se caracteriza mediante n números (con la particularidad de que el espacio puede tener un número finito e infinito de dimensiones) [Diccionario Filosófico 1965]
Gestión por procesos: Todos los esfuerzos de una organización para analizar y mejorar continuamente las actividades fundamentales, tales como la fabricación, comercialización, comunicaciones y otros elementos importantes de las operaciones de la empresa (TrKman, 2010). Otra definición según (Smith & Fingar, 2012), conjunto de actividades colaborativas y transaccionales que son coordinadas y entregan un valor agregado a los clientes como recipientes de salida de un proceso.
Marco de Trabajo (Framework): Es una estructura de soporte definida, mediante la cual otro proyecto de software puede ser organizado y desarrollado (Definición tomada de Wikipedia) xii
Modelo: un modelo corresponde a un conjunto coherente de elementos que representan una situación determinada, y es interceptado de acuerdo a una forma de análisis específica [Mellor et al. 2003]. Por lo tanto, es importante mantener su significado y el de sus elementos con respecto a los requisitos, por medio de la verificación de completitud y consistencia de sus elementos a través del ciclo de vida del desarrollo.
Stakeholder: persona, grupo, organización, o sistema quién afecta o puede ser afectado por el éxito o el fracaso de un proyecto de desarrollo de software. Ellos podrían ser el patrocinador, visionario, embajador, usuario u otros actores según la metodología usada durante el proceso de desarrollo.
xiii
Tabla de Contenido Capítulo 1 Introducción ...................................................................................................... 20 1.1 Motivación ................................................................................................................ 23 1.2 Hipótesis .................................................................................................................... 24 1.3 Objetivos ................................................................................................................... 24 1.4 Contribución y Alcance de la Tesis ........................................................................... 25 1.5 Metodología .............................................................................................................. 26 1.6 Estructura de la Tesis ................................................................................................ 29 Capítulo 2 Estado del Arte Parte I – Gestión Por Procesos ................................................ 33 2.1 Gestión por procesos ................................................................................................. 34 2.2 Arquitectura empresarial ........................................................................................... 42 2.3 Frameworks................................................................................................................ 46 2.4 TOGAF ...................................................................................................................... 48 2.5 Modelo de Madurez ................................................................................................... 57 2.6 Nivel Organizacional ................................................................................................ 70 2.7 Espacio Multidimensional para la Gestión por Procesos .......................................... 71 2.8 Resumen .................................................................................................................... 74 Capítulo 3 Estado del Arte Parte II – Gobernanza en las Tecnologías de Información ..... 76 3.1 Gobierno empresarial ................................................................................................ 77 3.2 Gobierno de TI .......................................................................................................... 79 3.3 Gobernabilidad en COBIT ........................................................................................ 83 3.4 Gobernabilidad en ITIL ............................................................................................ 94 3.5 Gobernabilidad en TOGAF........................................................................................ 99 xiv
3.6 Gobierno SOA ......................................................................................................... 107 3.7 Framework AUT SOA ............................................................................................ 111 3.8 Resumen .................................................................................................................. 118 Capítulo 4 Modelo de Gobernabilidad para la Gestión por Procesos ............................... 120 4.1 Definición de los componentes del modelo de gobernabilidad .............................. 122 4.2 Resumen .................................................................................................................. 164 Capítulo 5 Resultados del Modelo ................................................................................... 165 5.1 Descripción entorno del Caso de Estudio ................................................................ 166 5.2 Información básica para el desarrollo del caso de estudio ....................................... 169 5.3 Análisis del nuevo proceso de negocio desde cada eje del espacio multidimensional ........................................................................................................................................ 174 5.4 Desarrollo del caso de estudio a través del modelo de gobernabilidad para las intercepciones presentadas en la gestión por procesos en el MEM ............................... 177 5.5 Resumen .................................................................................................................. 195 Capítulo 6 Conclusiones y Trabajos Futuros .................................................................... 197 6.1 Resumen de los objetivos de la tesis ....................................................................... 197 6.2 Resultados de la Tesis ............................................................................................. 198 6.3 Trabajo Futuro ......................................................................................................... 201 Referencias ..................................................................................................................... 203 Anexo A. Dominios, Procesos y Objetivos de COBIT ................................................ 212 Anexo B. Lista de chequeo de seguridad en TI ............................................................ 223 Anexo C. Lista de chequeo de auditorias ...................................................................... 231 Anexo D. Lista de chequeo llaves criptográficas ......................................................... 234 Anexo E. Operatividad en las aplicaciones y los servicios .......................................... 237
xv
Lista de Figuras Figura 1. Estructura de la tesis............................................................................................ 30 Figura 2. Entradas y Salidas de la Gestión Por Procesos ................................................... 40 Figura 3. Fases Gestión por Procesos ................................................................................. 41 Figura 4. Tipos de procesos ................................................................................................ 42 Figura 5. Modelo de las Arquitecturas Empresariales ........................................................ 43 Figura 6. El lodazal de los modelos de madurez de procesos. ........................................... 58 Figura 7. Espacio Multidimensional para la gestión por procesos ..................................... 73 Figura 8. Adaptación del modelo de Peter Weill y Jeanne W. Ross ................................... 79 Figura 9. Áreas de enfoque del gobierno de TI .................................................................. 81 Figura 10. Modelos de Gobernabilidad en TI..................................................................... 84 Figura 11. Evolución de versiones COBIT......................................................................... 85 Figura 12. Áreas Claves de Gobierno y Gestión de COBIT 5 ........................................... 87 Figura 13. Evaluar, Orientar y Supervisar COBIT ........................................................... 887 Figura 14. Alinear, Planificar y Organizar COBIT ............................................................. 90 Figura 15. Construir, Adquirir e Implementar COBIT ....................................................... 91 Figura 16. Entregar, dar Servicio y Soporte COBIT .......................................................... 92 Figura 17. Supervisar, Evaluar y Valorar COBIT ............................................................... 93 Figura 18. TOGAF Fase G ............................................................................................... 101 xvi
Figura 19. Fases Gobierno SOA ....................................................................................... 110 Figura 20. Framework AUT SOA .................................................................................... 113 Figura 21. Componentes del modelo de gobernabilidad propuesto ................................. 123 Figura 22. Contexto de apoyo de COBIT 5 a la gobernabilidad del MEM ...................... 125 Figura 23. Contexto de apoyo Framework AUT SOA a la gobernabilidad del MEM ..... 145 Figura 24. Contexto de apoyo Framework TOGAF a la gobernabilidad del MEM ......... 158 Figura 25. Gobierno TI ...................................................................................................... 160 Figura 26. Puesta en Marcha de la Gestión del servicio y operaciones ........................... 160 Figura 27. Estructura Organizacional de la empresa de Telecomunicaciones.................. 168 Figura 28. Mapa de procesos de la empresa de Telecomunicaciones............................... 169 Figura 29. Proceso compra y venta Internet Inalámbrico Pospago por puntos fijos y cadenas de supermercado ................................................................................................................ 172 Figura 30. Proceso compra y venta Internet Inalámbrico Pospago por call center .......... 173 Figura 31. Proceso compra y venta Internet Inalámbrico Pospago por portal web .......... 174 Figura 32. Intercepción Nivel Operativo, Nivel de Madurez 3 y Arquitectura de Aplicaciones ........................................................................................................................................... 179 Figura 33. Intercepción Nivel Táctico, Nivel de Madurez 3 y Arquitectura de Negocio . 181 Figura 34. Intercepción Nivel Táctico, Nivel de Madurez 3 y Arquitectura de Información182 Figura 35. Intercepción Nivel Táctico, Nivel de Madurez 3 y Arquitectura de Aplicaciones183 Figura 36. Documentación de Operaciones ...................................................................... 184 Figura 37. Intercepción Nivel Táctico, Nivel de Madurez 3 y Arquitectura de Tecnologías192
xvii
Lista de Tablas Tabla 1. Estudios de la Gestión por Procesos ...................................................................... 35 Tabla 2. Lista de Framework de AE .................................................................................... 47 Tabla 3. Estructura componentes TOGAF 9.1 ..................................................................... 49 Tabla 4. Fases ADM ............................................................................................................ 51 Tabla 5. Modelos de Evaluación y Mejora de Procesos ...................................................... 58 Tabla 6. Niveles CMMI ....................................................................................................... 65 Tabla 7. Diferencias en los niveles CMMI .......................................................................... 65 Tabla 8. Descripción Gobierno Empresarial........................................................................ 77 Tabla 9. Áreas de enfoque de gobierno de TI ITGI ............................................................. 82 Tabla 10. Entradas Fase G Gobernabilidad ....................................................................... 103 Tabla 11. Salidas Fase G Gobernabilidad .......................................................................... 104 Tabla 12. Gobernabilidad en la Gestión por Procesos ....................................................... 104 Tabla 13. Integración Nivel Organizacional Estratégico, Arquitectura Empresarial y COBIT ........................................................................................................................................... 127 Tabla 14. Integración Nivel Organizacional Operativo, Arquitectura Empresarial y COBIT134 Tabla 15. Integración Nivel Organizacional Táctico, Arquitectura Empresarial y COBIT140 Tabla 16. Marco Normativo de Seguridad de la Solución ................................................. 180 Tabla 17. Avances documentación operacional ................................................................. 185 18
Tabla 18. Inventario de servidores ..................................................................................... 190 Tabla 19. Lineamientos de Arquitectura de Integración .................................................... 190 Tabla 20. Responsabilidades comité de arquitectura TI .................................................... 193
19
Capítulo 1 Introducción Los procesos de negocio en las estructuras de las organizaciones han sido tomados como hechos aislados de las Tecnologías e Información (TI), mientras que estos deberían ser asumidos como espacios estrechamente interconectados. Según organización OMG: “Los procesos de negocio y TI no son hechos separados en una organización. Por el contrario tienen una relación directa y una dependencia mutua, ya que gestionar los procesos de negocio (Business Process Management – BPM) implica que las tecnologías de información se deban definir e implantar de acuerdo a las actividades definidas por los procesos” (OMG, 2008).
Tabares y Lochmuller, proponen un espacio multidimensional para gestión por procesos que dinamiza la sinergia entre los procesos de negocio y TI. La propuesta articula tres ejes en un plano tridimensional: arquitectura empresarial, modelo de madurez y nivel de gestión
20
Capítulo 1 Introducción
organizacional. Por medio de estos se propone una nueva forma de hacer gestión de procesos de manera controlada, de tal manera que tanto el negocio como
TI logren
disminuir los riesgos en la toma de decisiones cuando un cambio puede afectar la organización desde cualquiera de estos ejes. De hecho, los autores lo plantean en su trabajo “la toma de decisiones en las organizaciones enfocada sólo a uno de los ejes presenta dificultades que son evidentes en otros procesos o componentes de la organización” (Tabares & Lochmuller, 2012).
Este modelo multidimensional planteado por Tabares y Lochmuller (Tabares & Lochmuller, 2012), requiere de una gobernabilidad que permita la integración de los tres ejes teniendo en cuenta los parámetros y las características de cada estudio de caso que se desarrolle bajo dicha propuesta.
Esto con el fin de hacer más eficiente la implementación del modelo
multidimensional y que la toma de decisiones se haga de una manera controlada en la cual se haga evidente la importancia de hacer gestión de procesos teniendo en cuenta los componentes de cada uno de los ejes.
Para vincular los procesos de negocio y las tecnologías, es de vital importancia cambiar la forma en que estos se relacionan, permitiendo que los procesos sean definidos, articulados e implementados por quienes tienen ese conocimiento para gestionar su desarrollo en la organización.
21
Capítulo 1 Introducción
Por lo tanto, es importante establecer una serie de lineamientos que permitan el adecuado uso del espacio multidimensional. Para lograr esto se requiere de un modelo de gobernabilidad que facilite el gobierno que integran los ejes del modelo multidimensional.
A partir de esto, se plantea una pregunta que sirva de base y punto de partida para este trabajo.
¿Es posible definir un modelo de gobernabilidad basado en COBIT para facilitar la gestión de procesos desde diferentes vistas de la organización tales como la arquitectura empresarial, el modelo de madurez y la gestión organizacional?
El modelo de gobernabilidad que este trabajo pretende implementar es pertinente y se justifica porque es necesario mantener una gobernanza durante la integración de las diferentes vistas del espacio multidimensional cuando se motiva la gestión de los procesos por la ocurrencia de cambios en la organización.
Por los motivos antes expuestos, se plantea la definición de un modelo de gobernabilidad basado en COBIT, que facilita la gestión integral de procesos en un espacio multidimensional.
La estructura de este capítulo se define a continuación. La Sección 1.1 presenta diferentes 22
Capítulo 1 Introducción
aspectos que motivaron el desarrollo de esta tesis. La Sección 1.2 define la hipótesis de la tesis. La Sección 1.3 define los objetivos de la tesis. La Sección 1.4 presenta la contribución y alcance de esta tesis. La Sección 1.6 define la metodología investigativa utilizada en el trabajo de tesis. La Sección 1.6 define la estructura de la tesis.
1.1
Motivación
Esta disertación responde a los siguientes cuestionamientos: ¿Podría un marco de gobernabilidad de TI como COBIT establecer parámetros adecuados para la gestión de procesos? ¿Cómo se podría hacer una extensión de COBIT para la gobernabilidad del espacio multidimensional planteado por Tabares & Lochmuller? ¿Por qué es de vital importancia tener un modelo de gobernabilidad para soportar el espacio multidimensional para la gestión de procesos? ¿Qué características deberá presentar el modelo de gobernabilidad que nos permita la toma de decisiones en una organización que gestione procesos desde el espacio multidimensional? ¿Cómo se lograría establecer que el modelo de gobernabilidad propuesto ha tenido el impacto esperado para la toma de decisiones?
23
Capítulo 1 Introducción
1.2
Hipótesis El modelo de gobernabilidad basado en COBIT para SOA definido en el framework AUT SOA (Hojaji & Mohammad, 2010), puede extenderse de tal forma que se genere un nuevo modelo para la gobernabilidad en el espacio multidimensional para gestión por procesos. Un modelo de gobernabilidad basado en COBIT provee los elementos suficientes para alinear diferentes vistas de la organización cuando se toman decisiones durante la gestión de los procesos.
1.3 Objetivos Definir un modelo de gobernabilidad basado en COBIT para facilitar la gestión por procesos en un espacio multidimensional de la organización. Objetivos Específicos Identificar el modelo de gobernabilidad COBIT en SOA, definido desde el framework AUT, con el fin establecer los elementos base de un nuevo modelo. Identificar los elementos que compone un espacio multidimensional para la gestión por procesos en la organización. Definir los elementos de gobernabilidad que soporten la gestión por procesos en un espacio multidimensional de la organización. Validar el modelo propuesto por medio de un estudio de caso. 24
Capítulo 1 Introducción
1.4
Contribución y Alcance de la Tesis
La contribución de este trabajo de grado está orientada para que las organizaciones usen el modelo multidimensional presentado por (Tabares & Lochmuller, 2012), bajo una gobernabilidad que facilite la toma de decisiones durante la gestión por procesos para las diferentes partes que lo componen.
Alcance El alcance de este trabajo de grado de maestría estará determinado por el análisis de los componentes básicos y características esenciales del framework COBIT para las buenas prácticas del control de TI y los riesgos que conllevan, como son la planificación, definición, implementación y medición, que presenta. Además, el análisis de la gobernabilidad definida por el framework de Arquitecturas Empresariales TOGAF que proporcione un enfoque para el diseño, planificación, implementación y gobierno de una arquitectura empresarial de información y del modelo de madurez CMMI basado en la mejora y evaluación de procesos para el desarrollo, mantenimiento y operación de sistemas de software.
Con este modelo ya construido se propondrá un caso práctico en el contexto de una organización de Telecomunicaciones, en uno de los productos que actualmente lidera la compañía.
25
Capítulo 1 Introducción
La evaluación estará sujeta a la realización del mismo proyecto, dado que es precisamente en la experimentación cualitativa del modelo donde se logrará el análisis de los resultados.
No está dentro del alcance, la realización de la construcción de un desarrollo de software que apoye la propuesta, dado que esta construcción está limitada a la consecución de licencias y otros factores tales como el tiempo y restricciones de publicación presentadas por la empresa donde se planteará la evaluación.
Teniendo en cuenta las consideraciones anteriores, si se presenta la situación que en la empresa de Telecomunicaciones no se pueda realizar el caso práctico, se implementará un caso ficticio que reúna las condiciones necesarias para la validación.
1.5
Metodología
El marco investigativo de este trabajo se abordará tomando como referentes teóricos los libros especializados, investigaciones, publicaciones y personas expertas en este campo que han tenido experiencia en la gestión por procesos, además se integrarán sitios web que trabajan en el tema. La bibliografía completa se encontrará en la última sección de este documento.
El aporte que se define en este trabajo está guiado por la metodología de ciencia basada en el 26
Capítulo 1 Introducción
diseño (Alan, Salvatore, Jinsoo, & Sudha, 2004) está enmarcada en tres fases:
Análisis del entorno (relevancia): Define el espacio del problema, es decir las circunstancias actuales donde reside la dificultad de interés; esta fase se enfocará en la consecución de datos e información pertinente que brinde un marco general de lo acontecido para la gestión por procesos. Este análisis estará basado en la investigación (Tabares & Lochmuller, 2012), donde presentan la propuesta de un espacio multidimensional para gestión por procesos; y en el estudio del framework AUT-SOA para la gobernabilidad de las arquitecturas orientadas a servicios
(Hojaji & Mohammad, AUT SOA Governance: A New SOA Governance
Framework Based on COBIT, 2010).
Análisis de la base del conocimiento (rigor): En el análisis de la base del conocimiento se busca indagar todos los componentes que tienen una implicación relevante y directa con la investigación a partir de teorías fundamentales, marcos, instrumentos, conceptos, modelos, métodos e instancias que serán usados en la etapa de desarrollo/construcción de la investigación.
En esta fase se reconocerá el funcionamiento y los elementos del Espacio Multidimensional para la gestión por procesos definido desde el proyecto de investigación de Arquitecturas Empresariales, además de abstraer los componentes propuestos en el framework AUT SOA que sean de vital importancia en el modelo multidimensional.
Con la integración del
framework AUT, el modelo multidimensional y sus características más importantes, se 27
Capítulo 1 Introducción
pretende dar solución a la problemática de una gobernabilidad de gestión por procesos vinculada desde diferentes vistas.
Diseño y validación del modelo (Diseño-Validación): En esta fase se establece el diseño y desarrollo de un modelo fundamentado en las fases anteriores.
Para establecer este diseño del modelo de gobernabilidad para la gestión por procesos en el espacio multidimensional, se tendrán en cuenta los siguientes componentes: Framework AUT, Framework COBIT 5, Modelo del Espacio Multidimensional (Tabares & Lochmuller, 2012) y Framework TOGAF.
De cada uno de los componentes establecidos se identificarán los
elementos más relevantes que hagan posible definir la estructura de gobierno en el modelo multidimensional. De igual forma se establecerá en el diseño la dinámica entre los diferentes componentes si esto fuese posible.
Para validar el modelo de gobernabilidad se definirá un estudio de caso asociado a la gestión por procesos a uno de los productos que actualmente lidera la compañía, se someterá el modelo específicamente a uno de los procesos de negocio que hacen parte integral del desarrollo del producto final. La elección de esta compañía y su producto para la puesta en marcha del caso de estudio está sustentada en el conocimiento del sector dado que el autor del trabajo de grado labora en el área de las telecomunicaciones y esta a su vez la compañía ha permitido la implementación de este modelo en uno de sus productos. Es importante aclarar que en trabajos futuros se planteará el modelo en otros sectores económicos, permitiendo de 28
Capítulo 1 Introducción
esta manera generar los insumos pertinentes para la evaluación del modelo en diversos sectores de la economía.
Los resultados obtenidos de la validación serán discutidos con el fin de analizar la forma como el modelo multidimensional para la gestión por procesos y su gobernabilidad pueden llegar hacer implantados en una organización.
1.6
Estructura de la Tesis
La estructura general de la tesis, está compuesta de seis capítulos, donde cada uno apalanca su realización de este trabajo. Para mejor comprensión a los lectores, la figura 1 presenta la organización de los capítulos que se agrupan en tres secciones para su cumplimiento.
29
Capítulo 1 Introducción
Figura 1. Estructura de la tesis
Sección 1: Capítulos de conceptualización Básica.
En esta sección se encuentran los
capítulos de introducción y estado del arte de los conceptos a tener en cuenta para la elaboración del trabajo de grado.
Capítulo 1. Introducción En este capítulo se hará una introducción general del problema a resolver, hipótesis, objetivos y conceptos básicos que son el eje central para el desarrollo de la tesis. Además se define el 30
Capítulo 1 Introducción
camino que llevará a definir un modelo de gobernabilidad basado en COBIT en un espacio multidimensional.
Capítulo 2. Estado del Arte parte I gestión por procesos En el estado del arte parte I se definen los conceptos de gestión por procesos, arquitectura empresarial, modelo de madurez, niveles organizacionales y el espacio multidimensional que servirán de base fundamental y soporte para el desarrollo del trabajo. Se amplía el uso de los diferentes conceptos, desde el tratamiento que hacen otros autores de las temáticas en las cuales se fundamenta este trabajo. Esto permitirá establecer los argumentos suficientes para lograr demostrar las hipótesis planteadas.
Capítulo 3. Estado del Arte parte II Gobernanza en las Tecnología de Información En el estado del arte parte II se definen los conceptos de gobernabilidad en TOGAF, gobernabilidad en COBIT, gobernabilidad en SOA y Framework AUT SOA que servirán para la realización del modelo planteado.
Sección 2: Capítulo de Definición del Modelo de Gobernabilidad. En esta sección se define el modelo de gobernabilidad para la gestión por procesos basados en COBIT para apalancar el espacio multidimensional.
31
Capítulo 1 Introducción
Capítulo 4. Modelo Gobernabilidad para la Gestión por Procesos En este capítulo se plantea la posibilidad de un modelo de gobernabilidad para la gestión por procesos basado en el espacio multidimensional de (Tabares & Lochmuller, 2012), apoyado en los conceptos vistos en capítulos anteriores.
Sección 3: Capítulos de Aplicación y Adopción del Modelo de Gobernabilidad. En esta sesión se encuentran los capítulos donde se plasman los resultados del modelo de gobernabilidad propuesto y las conclusiones y trabajos futuros respecto al modelo.
Capítulo 5. Resultados del modelo Se presentará un estudio de caso para uno de los productos más destacados de la organización de Telecomunicaciones, tomando como base una de sus transacciones para aplicarle el modelo de gobernabilidad planteado en el capítulo anterior.
Capítulo 6. Conclusiones y Trabajos futuros En este punto del trabajo se presentan las conclusiones que se han logrado por medio de la elaboración del modelo de gobernabilidad, verificando si es viable para la implementación y puesta en marcha de futuros trabajos en las organizaciones. También se presentan futuras posibilidades de trabajos que se podrían tener en cuenta para consolidar el modelo de gobernabilidad.
32
Capítulo 2 Estado del Arte Parte I - Gestión Por Procesos En este capítulo se presenta una revisión del estado de arte sobre los conceptos que se tendrán en cuenta para la elaboración del modelo de gobernabilidad para la gestión por procesos. Esta revisión se realiza desde los conceptos definidos por la propuesta de un espacio multidimensional para la gestión por procesos (Tabares & Lochmuller, 2012), arquitectura empresarial, modelo de madurez y gestión organizacional. Para desarrollar esto se plantean dos objetivos: (1) Realizar un acercamiento de los conceptos anteriormente mencionados, validando lo más relevante para la gobernabilidad que se propondrá; (2) Presentar los principales conceptos que apalanquen el modelo de gobernabilidad para la gestión por procesos en el espacio multidimensional.
33
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
2.1 Gestión por procesos En la actualidad las organizaciones se enfrentan de manera constante a la alta competitividad y a las innovaciones que permiten vincular los productos con valores agregados, de esta forma deben asumir los retos que traen los cambios constantes si desean estar siempre a la vanguardia; más aún cuando el mercado actual es exigente en el proceso que genera sus productos, haciendo del proceso mismo un aliciente para la toma de decisiones frente al mercado.
En este sentido, los procesos son posiblemente el elemento más importante y más extendido en la gestión de las empresas innovadoras, especialmente de las que basan su sistema de gestión en la Calidad Total (Zaratiegui, 1999).
Smith y Fingar (2006) definen un proceso de negocio como un conjunto de actividades colaborativas y transaccionales que son coordinadas y entregan un valor agregado a los clientes como recipientes de la salida de un proceso (Smith & Fingar, 2002). Según la SEI (Software Engineering Institute – http://www.sei.cmu.edu/), los procesos facilitan la sinergia de tres dimensiones críticas en las empresas: gente, procedimientos y métodos, y herramientas y equipos (Chrissis, Konrad, & Shrum, 2003).
Administrar los procesos está orientado a gestionar la organización desde la mirada que el cliente tiene de la misma (Agudelo & Escobar, 2007). Conceptos predecesores tales como la 34
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
administración científica propuesta por Taylor (Taylor, 1997), la reingeniería (Hammer & Champy, 2003) y diferentes iniciativas para mejorar la calidad como la ISO-90001 NTC-ISO 9000, (ICONTEC, 2002), se han enfocado en los procesos para producir un producto o servicio.
La gestión por procesos conduce a la estandarización de los procesos de negocio. Trkman define BPM (Business Process Management) como “todos los esfuerzos de una organización para analizar y mejorar continuamente las actividades fundamentales, tales como la fabricación, comercialización, comunicaciones y otros elementos importantes de las operaciones de la empresa” (Trkman, 2010).
Históricamente se ha venido hablando de la gestión por procesos y varios autores han tratado el tema de una manera clara y organizada, permitiendo la clasificación de conceptos fundamentales para su construcción teniendo en cuenta los aspectos más relevantes. En la tabla 1, se presentan diferentes estudios realizados para la gestión por procesos.
Tabla 1. Estudios de la Gestión por Procesos
Autores (Van der Aalst, 2013)
Características de Estudio El autor hace un estudio cronológico de la evolución de la gestión de procesos resaltando características tales como: modelo de 35
Elementos Relevantes Los modelos de proceso se pueden utilizar para configurar los sistemas de información, pero también se pueden usar para analizar, comprender, y mejorar
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
procesos, las ramificaciones técnicas y de la gestión que tiene Business Process Management (BPM, Gestión de Procesos de Negocio), ciclo de vida de BPM y herramientas y técnicas para la BPM
los procesos que describen. El alcance de BPM se extiende mucho más allá de la ejecución de procesos de negocio, ya que se debe tener en cuenta el análisis y comprensión basado en modelos y datos. El modelado y el análisis de los procesos juegan un papel central en la gestión de procesos de negocio. Por lo tanto, la elección del lenguaje para representar los procesos de una organización es esencial. Tres clases de idiomas pueden ser identificados: Lenguajes Formales, Lenguajes Conceptuales y Ejecución de Lenguajes.
(Van der Aalst, Ter Hofstede, & Weske, 2003)
El objetivo de los autores es proporcionar una visión científica y práctica en el contexto de los sistemas de gestión por procesos desde la discusión de ideas y fundamentaciones de las siglas WFM, BPM, BAM, BPA; las definiciones se presentan en los acrónimos.
BPM incluye los métodos, técnicas y herramientas para apoyar el diseño, aprobación, gestión y análisis de los procesos de negocio operacionales. Se puede considerar como una extensión de los sistemas clásicos de gestión de flujo de trabajo (WFM).
(BearingPoint, 2012)
El estudio realizado por BeatingPoint presenta la importancia, percepción y beneficios para la gestión de procesos de negocio.
El objetivo de BPM es ofrecer una mayor eficiencia (93%), aumento de la transparencia (90%) y la realización de potenciales estándares (85%). Más de la mitad de las empresas (58%) eligen un enfoque sostenible para la optimización de
36
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
los procesos de negocio Sólo el 38% de las empresas utilizan una herramienta profesional BPM para apoyar metódicamente su enfoque BPM Actualmente el uso de herramientas y planes para la adopción de software de BPM son más comunes en el sector comercial. Los beneficios tangibles e intangibles que trae BPM aún requieren retos que deben abordarse de manera estructurada. (Wolf & Harmon, Los autores realizan un trabajo de las tendencias que 2012) se tienen en BPM proporcionado por 399 encuestados en el año 2011. El informe presentado analiza y las compara con informes presentados en los años 2005, 2007 y 2009, los cuales permiten medir la evolución de BMP.
BPM presenta un crecimiento superior en comparación con otras disciplinas tales como Six Sigma, Lean Six Sigma, y Business Arquitecture. Existe aumento incremental en comparación con años anteriores de la importancia que le dan las organizaciones a los procesos de negocio, aunque aún no se tiene un porcentaje importante en las empresas que adoptan BPM ya sea por los costos considerables que se generan. La herramienta de software más utilizada por los encuestados para centralizar los esfuerzos en la gestión de procesos es: Process Modeling tool (Casewise, IBM Modeler, ProVision).
37
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
Teniendo en cuenta el gran efecto y los aportes fundamentales que le brinda la gestión por procesos a las organizaciones se debe identificar claramente en qué líneas específicas son fuertes estos aportes y como los beneficios de la gestión por procesos vincula de manera eficaz los diversos aspectos de una organización para consolidar de esta manera un eje central y orientado al desarrollo en la organización.
Para alcanzar sus propósitos se deben precisar las responsabilidades (quién), los recursos (con qué), las metodologías (cómo), los cronogramas (cuándo) y cualquier aspecto adicional que el nivel directivo considere que debe integrar el mando general de la organización para asegurar los resultados que esta desea alcanzar (De la C. & Delgado, 2006).
Según el autor (Benavides, 2000), un proceso se define como: “un conjunto de actividades lógicamente relacionadas con el objetivo de transformar insumos en productos con un valor de funcionamiento mayor, respondiendo a las necesidades de los clientes, en los intervalos de tiempo establecidos y haciendo un uso adecuado de los recursos que se disponen para tal fin.” (p. 1).
Un proceso a su vez está compuesto de los siguientes elementos básicos: Entradas: Se definen por las necesidades de las personas y las fuentes de información procedentes, tanto internas como externas. Salidas: Constituyen la conclusión del ciclo de vida de la información, posibilitan disponer de productos y servicios de información con valor añadido y deben garantizar 38
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
la satisfacción de las necesidades de la comunidad de usuarios a la que se vincula el sistema con las exigencias de calidad que ellos demandan o necesitan. Flujo de información: Es el tránsito de la información, desde las entradas por cada uno de los procesos, hasta las salidas. En el paso de la información, desde las entradas a las salidas, intervienen una serie de procesos ordenados que se relacionan estrechamente por medio de diversos flujos, con vista a que el usuario obtenga una nueva información de valor añadido.
Cualquiera de estos tres componentes se vincula con diversos
recursos: humanos, físicos, materiales y tecnológicos (hardware y software) e información en su acepción más amplía (De la C. & Delgado, 2006).
En la gestión por procesos como se ve en los apartados anteriores es necesario identificar de forma clara todo el modelo de la organización además de los sistemas que esta mantiene y como se ven afectados en su interacción, además de identificar los procesos y sus múltiples conexiones, es necesario definir un modelo que permita dar seguimiento y evaluar dichos procesos.
Como se presenta en la figura 2, la gestión por procesos está articulada por una serie de entradas y salidas que permiten evaluar el flujo de los procesos en la organización.
39
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
Figura 2. Entradas y Salidas de la Gestión Por Procesos Fuente (De la C. & Delgado, 2006).
Para evaluar la eficacia y la eficiencia de los procesos se emplea frecuentemente el ciclo de Deming o PHVA (planificar, hacer, verificar y actuar) donde, según la Norma ISO 9001: 2000, en la fase “P” se establecen los objetivos y los procesos de acuerdo con los requerimientos y políticas de la organización; en la fase “H” se ejecuta aquello que se planificó y en la fase “V” se siguen y evalúan los procesos y resultados; finalmente, en la fase “A” se desarrollan acciones para mejorar el proceso. En este caso, el término apropiado que se sugiere asignar es el de rehacer o ajustar porque realmente es lo que se realiza en este paso (De la C. & Delgado, 2006).
En la Figura 3 se presenta las fases que compone la gestión por procesos.
40
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
Figura 3. Fases Gestión por Procesos Fuente: http://neurocienciasycoaching.ning.com/group/gestionporprocesos
A la par del conocimiento en materia de evaluación de procesos al interior de las organizaciones es necesario establecer que tipos de procesos se generan en la organización, esto con el fin de determinar de manera clara las prioridades y fortalezas que se tienen.
El conocimiento de los tipos de procesos ofrece la claridad necesaria para identificar prioridades y no perder de vista el objetivo-meta del sistema de gestión en el que se aplica la gestión por procesos. La figura 4 muestra una clasificación donde se agrupan por su alcance o por su repercusión en la calidad, aunque desde distintos enfoques, generalmente se mencionan tres tipos de procesos: estratégicos, operativos y de soporte o apoyo (De la C. & Delgado, 41
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
2006).
Figura 4. Tipos de procesos Fuente: http://www.gestion-calidad.com/gestion-procesos.html
2.2 Arquitectura empresarial La arquitectura empresarial (AE) describe la organización como una estructura coherente que mantiene una alineación continua de todas las partes y facilita el control de cambios que se realiza y que podría afectar su estrategia organizacional (Spewak & Hill, 1992), (Posada, 2011), (The Open Group, 2013).
Una arquitectura empresarial usa un modelo de referencia que generalmente se basa en cuatro capas o sub-arquitecturas (Sousa & Alves, 2005), (Tabares & Lochmuller, 2009), como se muestra en la figura 5. 42
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
Figura 5. Modelo de las Arquitecturas Empresariales Fuente: (Sousa & Alves, 2005)
A continuación se presentará la definición de las cuatro capas o sub-arquitecturas de una arquitectura empresarial, tomadas estas definiciones del artículo: Propuesta de un espacio multidimensional para la gestión por procesos. Un estudio de caso (Tabares & Lochmuller, 2012).
2.2.1 Arquitectura de Negocio Esta arquitectura contiene las estrategias de negocio, las métricas de rendimiento, los procesos de negocio y sus relaciones. De acuerdo a las estrategias de negocio se ejecuta y evalúa con parámetros de rendimiento de las estrategias (Kang & Kim, 2011). De esta forma se alinea con las otras arquitecturas, para identificar los requerimientos de los sistemas de información que apoyan a las actividades del negocio (Sousa & Alves, 2005).
43
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
2.2.2 Arquitectura de Información La arquitectura de información describe que necesita la organización saber para ejecutar los procesos descritos en la arquitectura de negocio. Es decir, especifica qué partes del proceso de negocio requieren información y donde cada tipo de dato será almacenado y manejado (Tabares & Lochmuller, 2012).
2.2.3 Arquitectura de aplicaciones Define la interacción entre las aplicaciones que soportan los procesos de negocio. En otras palabras, describe las aplicaciones o sistemas de información que son requeridos del negocio y permitir la gestión de la información de una manera eficiente (Sousa & Alves, 2005).
2.2.4 Arquitectura de la tecnología Se refiere a la infraestructura de software y hardware que son necesarias para apoyar a las aplicaciones o sistemas de información. Algunas de estas son bases de datos, sistemas middleware, arquitecturas orientadas a servicios, redes, datos, etc. (Tabares & Lochmuller, 2012).
La falta de alineación entre estas cuatro arquitecturas, pueden generar deficiencias en la iteración de TIC y las necesidades del negocio, tienen consecuencias como por ejemplo el mal uso de recursos o activos de la organización (Tabares & Lochmuller, 2012). 44
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
Según (Bernard, 2005), (Jaap, 2006), (Mc Govern, 2003), (Arango Serna, Londoño Salazar, & Zapata Cortés, 2010), los beneficios que se obtienen al adoptar un modelo de arquitectura empresarial son: Permite la identificación del estado actual de la empresa y la describe como una estructura coherente y articulada en todos sus componentes. Actúa como una fuerza integradora entre aspectos de planificación del negocio, de operación del negocio y aspectos tecnológicos. Permite capturar la visión completa del sistema empresarial en todas sus dimensiones y complejidad. Permite conocer de forma real, medible y detallada, la brecha que existe entre el estado actual de los procesos del negocio y la tecnología que los soporta, respecto al estado requerido o deseado que exige la dirección estratégica. Permite unificar, mejorar y/o eliminar procesos y tecnologías redundantes, disminuyendo los costos operacionales que ello conlleva. Actúa como una plataforma corporativa que apoya y prepara a la empresa para afrontar de manera fácil y oportuna cambios del mercado, retos de crecimiento y respuesta a la competencia, entre otros aspectos.
45
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
2.3 Frameworks Los marcos o frameworks para las Arquitecturas Empresariales, han desempeñado un papel fundamental al aportar de manera organizada y puntual conceptos y prácticas que estandarizan los objetivos de las organizaciones y además brindan pautas que permiten afrontar nuevos retos al interior de la organización. Es importante resaltar como los marcos o frameworks de arquitecturas empresariales ejercen de manera eficiente un control sobre los objetivos y brindan nuevas luces a la organización con el fin de avanzar en su desarrollo (ETOM, 2012).
En esta sección se hará un análisis de la importancia que han tenido los marcos (frameworks) de arquitectura especialmente TOGAF 9.1, dado que en los últimos tiempos han sido el foco principal en las arquitecturas empresariales y han cumplido un papel fundamental para el desarrollo de los procesos y las arquitecturas implementadas en las organizaciones.
Los arquitectos encuentran en ellos un sentido sólido para los esfuerzos que apalancan a las direcciones y orientación a las empresas, además de los recursos necesarios para brindar solidez a los procesos y búsqueda de objetivos (TOGAF, 2013).
Además de las características antes mencionadas encontramos que un framework proporciona una manera para comunicar la arquitectura, esto permite establecer niveles de conjunto para los interesados sobre el contenido de la arquitectura al ofrecer definiciones y conceptos 46
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
comunes; muestra la relación entre los elementos de negocio y tecnología, asegurando que hay coherencia entre todos los elementos y que cada elemento de negocio puede asignar a un elemento correspondiente de la arquitectura técnica, así mismo, que todos los elementos técnicos se pueden ver como apoyo a las necesidades claves del negocio.
Existen varios marcos de trabajo para la arquitectura empresarial, los más destacados según (Zachman, 1987), (Sessions, 2008), (Jonkers, 2006), (Schekkerman, 2006), se presentan en la tabla 2.
Tabla 2. Lista de Framework de AE. Fuente: Adaptado de (Schekkerman, 2006) Framework de descripción arquitectura empresarial ZACHMAN
Zachman Framework for Enterprise Architecture (http://www.zifa.com/)
GEAF
Gartner Enterprise Architecture Framework. (http://www.gartner.com)
FEAF
Federal Enterprise Architecture Framework. US. (http://www.cio.gov)
BTEP
GC Enterprise Architecture and Standards. CANADÁ. (http://www.tbs-sct.gc.ca/inf-inf/index_e.asp)
Dada la importancia de TOGAF en el mundo de las arquitecturas empresariales y las grandes ventajas que este presenta por sus características, el trabajo de tesis se realiza sobre la base de este framework y para lograr dicho objetivo se necesita establecer y analizar algunos aspectos fundamentales que presenta TOGAF.
47
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
2.4 TOGAF The Open Group es un consorcio de la industria del software que provee estándares abiertos neutrales para la infraestructura de la informática, fue formada a partir de la fusión de x/Open Conosf en 1996. The Open Group es muy famoso por sus sistemas de certificación de la marca UNIX; en el pasado el grupo fue reconocido por publicar el artículo Single UNIX Specification, el cual extiende de los estándares de POSIX y es la definición oficial del sistema operativo conocido como UNIX. Sus miembros incluyen un conjunto de empresas y agencias gubernamentales, como por ejemplo Capgemini, Fujitsu, Hitachi, HP, IBM, NEC, Departamento de Defensa de los Estados Unidos, NASA y otros (ETOM, 2012).
The Open Group of Architecture Framework (TOGAF) Es un marco y un conjunto de herramientas de apoyo para desarrollar arquitecturas empresariales.
Puede ser utilizado libremente por cualquier organización que desee
desarrollar una arquitectura empresarial para su uso dentro de la organización (ETOM, 2012).
TOGAF es desarrollado y mantenido por miembros de The Open Group.
El desarrollo
original de TOGAF versión 1 en 1995, fue basado en Technical Architecture Framework for Information Management (TAFIM), desarrollado por el Departamento de Defensa de Estados Unidos (DoD). El Departamento de Defensa dio a The Open Group permiso explícito y el estímulo para crear TOGAF, basándose en TAFIM, que a su vez fue el resultado de muchos esfuerzos y muchos millones de dólares de inversión del Gobierno de los EEUU. A partir de
48
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
esta sólida base, los miembros The Open Group Architecture Forum han desarrollado versiones sucesivas de TOGAF y publicado cada uno en el sitio web The Open Group.
The Open Group Architecture Framework (TOGAF), permite que se desarrollen arquitecturas que sean consistentes, reflejando las necesidades de los interesados, empleando las mejores prácticas para el manejo de riesgos en el proceso de desarrollo de la arquitectura y finalmente proporcionando una plataforma para agregar valor a la empresa que utiliza TOGAF.
Conceptos básicos de TOGAF. El core de TOGAF es dar un enfoque paso a paso para desarrollar y utilizar arquitecturas empresariales.
TOGAF 9, consta de los componentes presentados en la tabla 3.
Tabla 3. Estructura componentes TOGAF 9.1
Componentes
Descripción
Parte I – Introducción
Parte II – Architecture Development Method (ADM) 49
• Introducción a un alto nivel con los conceptos claves de una arquitectura empresarial enfocada en TOGAF. • Definición de términos. • Architecture Development Method. • Entregables – Artefactos – Bloques de construcción. • Repositorio de arquitectura. • Capacidad de arquitectura. • Núcleo de TOGAF • Paso a paso para el desarrollo de una arquitectura empresarial.
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
Parte III – ADM Guías y técnicas
Parte IV – Arquitectura
Framework
Parte V – herramientas
Enterprise
contenido
de
Continuum
&
Parte VI – Modelos de referencia
Parte VII – Capacidad de Arquitectura
50
• Descripción de cada fase. • Pasos de cada fase. • Entradas. • Salidas. • Aplicar la iteración del ADM. • Aplicar el ADM a diferentes niveles. • Arquitecturas de seguridad y el ADM. • Uso de TOGAF para definir y gobernar SOAs. • Principios de arquitectura. • Administración de StakeHolders. • Patrones de Arquitectura. • Escenarios de Negocio. • Análisis de brecha (Gap analysis) • Técnicas planeación de migración. • Administración de riesgos. • Planificación de capacidades. • Meta modelo estructurado de artefactos de arquitectura. • Uso de los bloques de construcción. • Panorama de los entregables típicos de Arquitectura. • Taxonomías apropiadas. • Herramientas para categorizar y almacenar las salidas de las actividades de arquitectura. • Arquitectura fundamental (Foundation Architecture: TRM). • Modelo de referencia integrado de información, infraestructura (Integrated Information Infraestructure Reference Model – III - RM) • Como establecer y operar una arquitectura en función de la empresa. • Organización. • Procesos. • Habilidades. • Roles. • Responsabilidades.
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
Método de desarrollo de Arquitectura (ADM) El ADM comprende una serie de fases enlazadas que permiten un ciclo de vida completo para la gestión de arquitecturas empresariales y que permitirá generar un camino que va desde la planificación para el desarrollo operativo y los cambios.
Como un método genérico, el ADM está diseñado para ser utilizado en empresas que se encuentran ubicadas en diferentes zonas geográficas y aplicadas a los diferentes tipos y sectores de industria (TOGAF, 2013). Las diferentes fases del ciclo de vida del ADM se presentan en la tabla 4.
Tabla 4. Fases ADM
Fase ADM
Fase preliminar
Descripción
Objetivos
Actividades de preparación e iniciación requeridas para satisfacer las directivas del negocio para la nueva arquitectura.
• Preparar la empresa para una arquitectura empresarial exitosa. • Establecer el contexto organizacional. • Identificar los patrocinadores y los stakeholders. • Asegurar el compromiso con el proceso. • Definir el alcance y supuestos. • Definir una “huella de la arquitectura”: personas, responsables, responsabilidades. • Definir un marco y detalle de
En esta fase se establece el framework específico de arquitectura, definiendo principios, dónde, qué, porqué, quién y cómo la empresa hace arquitectura.
51
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
Fase ADM
Descripción
Objetivos
los métodos. • Confirmar el marco de gobernabilidad. • Seleccionar las herramientas de apoyo. • Definir principios de arquitectura. Fase A Visión de Arquitectura
Describe la fase inicial del ciclo de desarrollo de una arquitectura. Incluye información acerca de la definición del alcance, la identificación de los stakeholders, la creación de la visión arquitectónica y la obtención de aprobaciones.
52
• Asegurar el reconocimiento y respaldo apropiado de la gerencia administrativa, soporte y compromiso de la línea de administración necesaria para el proceso. • Validar los principios del negocio, las metas de negocio y los conductores estratégicos del esfuerzo de la línea base de arquitectura. • Definir el alcance, identificación y prioridades de los componentes del esfuerzo de la arquitectura base. • Definir los interesados relevantes sus preocupaciones (concerns) y objetivos. • Definir requerimientos claves a direccionar en este esfuerzo de arquitectura y las restricciones que se van a tener. • Articular visión de Arquitectura que demuestre una respuesta a esos requerimientos y restricciones. • Entender el impacto sobre
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
Fase ADM
Descripción
Objetivos
otros ciclos de desarrollo de arquitectura que estén en paralelo. Fase B Arquitectura de Negocio
Describe el desarrollo de una arquitectura de negocio para apoyar la visión de arquitectura acordada. La arquitectura de negocios es requisito previo para el trabajo de arquitectura en cualquier otro dominio (datos, aplicaciones, tecnología). En esta fase se recomienda reutilizar como sea posible los materiales existentes.
Fase C Arquitectura de Sistema de
Identifica y desarrolla las consideraciones de datos y aplicaciones que soportan la arquitectura de negocio. 53
• Desarrollar y describir la línea base de la arquitectura de negocio. • Desarrollar un Target Business Architecture, describiendo la estrategia de producto o servicio, los aspectos organizacionales, funcionales, procesos, información y geográficos de ambiente de negocio basado en los principios de negocio, metas de negocio y conductores estratégicos. • Analizar los vacios (Gap análisis) entre la línea base y el Target Business Architecture. • Seleccionar los puntos de vista relevantes de arquitectura que permitan al arquitecto demostrar cómo se atienden los stakeholders en la arquitectura de negocio. • Seleccionar las herramientas y técnicas relevantes para utilizarse en asociación con puntos de vista seleccionados. Datos: • Definir fuentes y tipos de datos necesarios para apoyar
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
Fase ADM
Descripción
Objetivos
Información
Los mayores sistemas de aplicaciones frecuentemente ofrecen combinación de tecnología, de infraestructura y lógica de aplicaciones de negocio.
el negocio. • Entendible por los stakeholders. • Completa y consistente. • Estable. Aplicación: • Definir principales tipos de aplicaciones para procesar los datos y soportar el negocio. • Esfuerzo no dirigido al diseño de los sistemas de aplicaciones. • Definir qué tipos de sistemas de aplicaciones son relevantes para la empresa y cuales aplicaciones se necesitan hacer para administrar los datos y para presentar información a los actores humanos y computacionales de la empresa. • Aplicaciones descritas como grupos lógicos de capacidades que gestionan los objetos de datos en la arquitectura de datos y apoyan las funciones de negocio en la arquitectura de negocio. • Aplicaciones y capacidades definidas sin referencia a tecnologías particulares. • Aplicaciones estables y sin mayores cambios en el
54
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
Fase ADM
Descripción
Objetivos
tiempo. Fase D Arquitectura de Tecnología
Busca correlacionar componentes de aplicación definidos en la arquitectura de aplicaciones dentro de un conjunto de componentes de tecnología. Los componentes de tecnología, representa componentes de software y hardware, disponibles en el mercado o configurados dentro de la organización en las plataformas tecnológicas.
Fase E Oportunidades y Soluciones
Fase F -
• Al definir la realización física de una solución arquitectónica, tiene fuertes vínculos con la planificación de la implementación y migración. • Define línea base y target del portafolio de tecnología. • Identifica las áreas claves en la ruta. • Apoya la valoración de costos para escenarios particulares de migración.
Lleva a cabo la implementación de la planificación inicial e identifica los entregables para la arquitectura definida en fases anteriores.
• Evaluar y seleccionar entre las opciones de implementación identificadas en el desarrollo de las arquitecturas Target (Por ejemplo construir versus comprar versus reusar). • Identificar parámetros estratégicos para el cambio y paquetes o proyectos más alto nivel a realizar en el movimiento a la meta. • Evaluar dependencias, costos y beneficios de los diversos proyectos. • Generar una estrategia global de implementación y migración. Plan detallado de implementación.
Creación de un plan viable de
• Ordenar varios proyectos de implementación en orden de
55
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
Fase ADM
Descripción
Objetivos
Planeación de Migración
implementación y migración.
prioridad. • Las actividades incluyen evaluación de dependencias, costos y beneficios de varios proyectos de migración. • Lista de proyectos priorizada para el plan detallado de implementación y migración.
Asegurar el cumplimiento con las arquitecturas definidas, tanto por los proyectos de implementación, como los proyectos en curso en la organización.
• Formular recomendaciones para cada proyecto de implementación. • Construir un contrato de arquitectura para gobernar la implementación global y el proceso de despliegue. • Realizar las funciones apropiadas de gobierno mientras el sistema está siendo implementado y desplegado. • Asegurar que haya conformidad con la arquitectura definida ´por los proyectos de implementación y otros proyectos.
Fase G Gobernabilidad de implementación
Fase H Administración de Cambios de Arquitectura
La meta del proceso de administración • Asegurar que los cambios del cambio es asegurar que la sean gestionados con arquitectura logra el valor originalmente cohesión y de forma establecido. La administración de arquitectural y para cambios de la arquitectura, ofrece establecer y apoyar la monitoreo continuo de cosas tales como implementación de la los nuevos desarrollos en tecnología y arquitectura empresarial los cambios en el ambiente del negocio, como una arquitectura para determinar cuándo iniciar dinámica. formalmente un nuevo ciclo de • Determinar cómo se va gestionar los cambios. 56
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
Fase ADM
Administración de requerimientos dentro de ADM
Descripción
Objetivos
evolución de la arquitectura.
• Técnicas que se aplican y metodologías a utilizar.
Este es un proceso dinámico y no estático. Dentro de toda organización existen requerimientos invariablemente sujetos a cambios en la práctica.
• Definir el proceso por el cual los requerimientos para la arquitectura empresarial son: identificados, almacenados y alimentan la entrada y salida de las fases de ADM relevantes.
2.5 Modelo de Madurez Los modelos de madurez proponen “buenas prácticas” para identificar, evaluar (Trkman, 2010) y gestionar los procesos (Wierenga, 2012), (Röglinger & Pöppelbuss, 2012). Son el punto de partida para que una organización determine su desempeño actual y su “capacidad” con respecto a la gestión de los procesos. Estos modelos describen los elementos básicos para lograr procesos eficaces en uno o varios dominios (OMG, 2008) y proveen elementos para controlar cuantitativamente los procesos, lo cual es la base para el mejoramiento continuo de estos.
Los modelos de calidad permiten precisar conceptos con los cuales es posible establecer la utilidad y definir parámetros de calidad, puesto que ayudan en la puesta en práctica de nociones particulares por medio de definiciones de tipo operacional (Gasca, 2006). 57
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
En la actualidad el número de modelos y estándares para la evaluación y mejora de los procesos es amplio como se presenta en la figura 6.
Figura 6. El lodazal de los modelos de madurez de procesos. Fuente: (De La Villa, Ruiz, & Ramos, 2005)
Aunque este trabajo toma como referencia el modelo de madurez CMMI, la tabla 5 muestra los puntos débiles y fuertes de los estándares y modelos más populares en la ingeniería de software de acuerdo a inspecciones y encuestas en todo el mundo (Wang, y otros, 1999).
Tabla 5. Modelos de Evaluación y Mejora de Procesos
Modelo o Estándar ISO 9001
Elementos relevantes Diseñado para la gestión y aseguramiento de la calidad, especifica los requisitos básicos para el desarrollo, producción, instalación y servicio a nivel de sistema y a nivel de producto. La Familia de estándares es la siguiente: • ISO 9000, Fundamentos y vocabulario.
58
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
• ISO 9001, Requisitos para aseguramiento de la calidad. • ISO 9004, Directrices para la mejora del rendimiento. • ISO 9011, Directrices para la auditoría de los sistemas de gestión de la calidad y/o ambiental. El estándar se basa en un conjunto de Principios de Gestión de la Calidad: Enfoque al cliente, Liderazgo, Implicación de todo el personal, Enfoque a procesos, Enfoque del sistema hacia la gestión, Mejora continua, Enfoque objetivo hacia la toma de decisiones y Relaciones mutuamente beneficiosas con los proveedores De la ISO 9001 se destaca positivamente según (Ussahawanitchakit & Tansujah, 2003), (Casadesus & Giménez, 2000), (Mutafelija & Stromberg, 2003), (De La Villa, Ruiz, & Ramos, 2005) • Amplía aplicabilidad, en cualquier industria y entorno. • Afecta la mayoría de las áreas funcionales de una organización, esto es, gestión, recursos humanos, producción, ingeniería y calidad. • Reconocimiento y apariencia internacional, marca de reconocido prestigio. • Libertad de implementación y de interpretación de los requisitos. • Incrementa las oportunidades de negocio en ciertos mercados y mejora la satisfacción del cliente.
CMMI
Se critica de la ISO 9001: • Es muy general, no proporciona información de cómo aplicarlo a empresas de menor tamaño, tampoco proporciona directrices para su implementación en varias industrias. • A causa de la amplia aplicabilidad del estándar ISO, hay pocas directrices para su implementación en algunas industrias o campos específicos. Tampoco existen directrices para su aplicación en una división o en una sucursal de una gran empresa. Para ISO 9001:1994, otro estándar, ISO 9000-3, se publicó como una guía para interpretar ISO 9001 para el software. • A pesar de estar ISO 9004:2000 dedicado a la mejora del proceso, sigue la estructura de ISO 9001 y apunta alguna explicación de lo que se espera, pero se queda corto en entregar un mapa para implementar el proceso de mejora. Cuando se lee ISO 9004, uno no sabe qué áreas dirigir primero y cuáles después. El modelo CMMI constituye un marco de referencia de la capacidad de las organizaciones de desarrollo de software en el desempeño de sus diferentes procesos, proporcionando una base para la evaluación de la madurez de las mismas y una guía para implementar una estrategia para la mejora continua de los mismos (De La Villa, Ruiz, & Ramos, 2005). Los autores: (Goldenson & Gibson, 2003), (Mutafelija & Stromberg, 2003), (Naur & Randell, 1969), (Sheard, 2001), indican las fortalezas a destacar en CMMI: • Inclusión de las prácticas de institucionalización, que permiten asegurar que los procesos asociados con cada área de proceso serán efectivos, repetibles y duraderos. • Guía paso a paso para la mejora, a través de niveles de madurez y capacidad (frente a ISO). • Transición del ‘aprendizaje individual’ al ‘aprendizaje de la organización’ por
59
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
mejora continua, lecciones aprendidas y uso de bibliotecas y bases de datos de proyectos mejorados. Algunas de sus debilidades son: • El CMMI puede llegar a ser excesivamente detallado para algunas organizaciones. • Puede ser considerado prescriptivo. • Requiere mayor inversión para ser completamente implementado. • Puede ser difícil de entender. • No existencia de una guía a medida de pequeñas organizaciones.
ISO 15504 (SPICE, Software Process Improvement and Capability determination)
ISO/IEC 15504 es un emergente estándar internacional de evaluación y determinación de la capacidad y mejora continua de procesos de ingeniería del software, con la filosofía de desarrollar un conjunto de medidas de capacidad estructuradas para todos los procesos del ciclo de vida y para todos los participantes. Es el resultado de un esfuerzo internacional de trabajo y colaboración y tiene la innovación, en comparación con otros modelos, del proceso paralelo de evaluación empírica del resultado (De la C. & Delgado, 2006). Puntos fuertes según (Wang, y otros, 1999): • Primer modelo de procesos de 2 dimensiones, dimensiones independientes para los procesos y la capacidad. • El resultado de una evaluación de proceso puede ser representado por un perfil de proceso, una gráfica de 2 dimensiones. • Inicialmente recogía una escala refinada de procesos de 9 atributos y 6 niveles, que posteriormente fue mejorada con la desaparición de la escala de procesos y la adopción de los PRMs. • Define un conjunto de criterios de conformidad para permitir la comparación de modelos externos de procesos y encontrar requisitos comunes. Puntos débiles: • La dimensión capacidad ha alcanzado un alto grado de dificultad y existen solapamientos con la dimensión procesos. • La complejidad de las evaluaciones (y por consiguiente el costo) es significativamente más alta que en otros modelos.
En los últimos años muchas organizaciones han desarrollado modelos de madurez destinados al apoyo en la mejora de los procesos en diferentes áreas tales como ASSOCIATION OF STATE CHIEF INFORMATION OFFICERS, 2013): Desarrollo de software. Ingeniería de sistemas. 60
(NATIONAL
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
Integridad del desarrollo de productos y procesos. Seguridad.
El modelo de madurez de capacidad desarrollado por Software Engineering Institute (SEI), que describe el modelo de evolución de los procesos de desarrollo de software, ha sido utilizado por la mayoría de las organizaciones como base para modelos de madurez de diferentes áreas
(NATIONAL ASSOCIATION OF STATE CHIEF INFORMATION
OFFICERS, 2013).
Por lo cual se presenta la necesidad de un modelo de madurez para las arquitecturas empresariales como lo muestra la NASCIO, donde independiente del nivel de desarrollo de la arquitectura con el cual una organización comienza, ciertos criterios deben ser considerados para que el producto final sea útil y aceptado dentro de la organización: Los principios arquitectónicos deben derivarse de los objetivos de la organización. Un plan de arquitectura debe orientar los sistemas de información de cada organismo y las decisiones de infraestructura tecnológica. Los altos directivos, arquitectos, directores de proyectos, diseñadores, desarrolladores, etc. Deben entender los planes de la arquitectura. La arquitectura debe desarrollarse dentro de la empresa en todo el contexto de las TI y 61
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
beneficios de la tecnología. La arquitectura debe permitir la flexibilidad y agilidad para reaccionar ante los nuevos cambios en la TI, los sistemas y datos de acceso.
Algunos de los beneficios que se pueden esperar con una arquitectura empresarial que adopte modelos de madurez son (NATIONAL ASSOCIATION OF STATE CHIEF INFORMATION OFFICERS, 2013): Reducción de software y reducción de datos. Intercambio de información empresarial mejorada. Reducción de complejidad en los sistemas de información. Mejor alineación de la estrategia empresarial y desarrollo de sistemas. Mayor confiabilidad en las implementaciones y actualizaciones. Reducción de dependencia de los recursos claves. Predicción más precisa de los costos de desarrollo y soporte. Mayor capacidad de establecer metas realistas. Incremento de trazabilidad.
62
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
También es importante tener la relación entre la gestión de procesos y modelos de madurez ya que las organizaciones reconocen cada vez más la necesidad de una mayor orientación a procesos y requieren marcos generales adecuados que ayuden a evaluar el alcance y las iniciativas de BPM (Rosemann & De Bruin, 2005). La noción de “madurez” se ha propuesto para otros enfoques de gestión como una forma de evaluar “el estado completo, perfecto y real” y la “plenitud o perfección de crecimiento o desarrollo” (Oxford University Press, 2004).
Recientemente se han propuesto una serie de modelos para medir la madurez de gestión de procesos empresariales. La gran mayoría de estos modelos se basan en el Modelo de Madurez de Capacidad (CMM), desarrollado por SEI, entre ellos Harmon (2004) desarrolló un modelo de madurez de gestión de procesos empresariales (BPMM). De manera similar Fisher (2004) combina cinco "palancas de cambio" con cincos estados de madurez. Otros modelos de madurez BPM son ofrecidos por TeraQuest / Borland Software (Curtis et al., 2004) y el Grupo de Gestión de Procesos de Negocio (BPMG).
Una de las actuales deficiencias en los modelos de madurez de BPM ha sido el foco simplificado en una sola dimensión y la falta de aplicaciones reales en estos modelos (Rosemann & De Bruin, 2005).
Un intento de dividir las organizaciones en grupos
dependiendo de su grado y progresión en BPM fue realizada por Pritchard y Armistead (1999) 63
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
definiendo dos dimensiones objetivas: el tiempo y el tamaño del equipo y una “ponderación a la disposición del cambio”. Sin embargo, este enfoque resultó ser demasiado complejo de medir. Por lo tanto, se ha optado por un enfoque fenomenológico para evaluar la madurez de la organización, utilizando medidas objetivas como guía. Otro ejemplo de cómo definir la madurez (o en su caso “condición de proceso”) es proporcionado por Detoro y McCabe (1997), quienes utilizaron dos dimensiones (eficiencia y eficacia) para calificar condiciones de un proceso.
2.5.1 CMMI El modelo Capability Maturity Model Integration (CMMI) es un conjunto de buenas prácticas que ayuda a las organizaciones a mejorar sus procesos. Fue desarrollado inicialmente por el Gobierno Estadunidense y el instituto de ingeniería de Software (SEI) para aplicarlos en la mejora de procesos de desarrollo de productos y servicios en todo el ciclo de vida. Luego del éxito de modelos de CMMI para organizaciones de desarrollo, se identifica la necesidad de un modelo de CMMI para el entorno de adquisición (Gasca, Metodología de Gestión de Riesgos para la Adquisición de Software en Pequeños Entornos - MEGRIAD, 2010).
Las constelaciones en el modelo CMMI aparecen a partir de la versión 1.2 publicada en Agosto de 2006, como CMMI-DEV (CMMI for Development). Una constelación es una colección de componentes utilizados para construir modelos, materiales de capacitación y 64
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
evaluación de un área de interés. Hasta el momento existen tres constelaciones publicadas: CMMI-DEV, CMMI-ACQ (Acquisition) y CMMI-SVC (Services).
Para facilitar el uso de múltiples modelos en la arquitectura del modelo CMMI se establecen componentes comunes y específicos. Los componentes comunes se conocen como el modelo base (Model Foundation) y lo integran las cinco metas genéricas y sus respectivas prácticas genéricas, así como 16 áreas de proceso que son comunes a todas las constelaciones (Perez, 2009).
Niveles de Capacidad y Madurez CMMI: CMMI está representado por 3 niveles de capacidad y 5 niveles de madurez como se presenta en la tabla 6.
Tabla 6. Niveles CMMI (Carnegie Mellon Software Engineering Institute, 2010)
Nivel
Niveles de capacidad
Niveles de Madurez
Nivel 0
Incompleto
N/A
Nivel 1
Realizado
Inicial
Nivel 2
Gestionado
Gestionado
Nivel 3
Definido
Definido
Nivel 4
N/A
Gestionado cuantitativamente
Nivel 5
N/A
En optimización
Nivel de capacidad 0: Un “proceso incompleto”, es un proceso que no se realiza o se lleva acabo parcialmente. Uno o más de los objetivos del área de procesos no están satisfechos y no 65
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
existen objetivos genéricos de este nivel ya que no hay razón para institucionalizar un proceso que se realiza parcialmente (Carnegie Mellon Software Engineering Institute, 2010).
Nivel de capacidad 1: Un proceso de nivel de capacidad 1 se caracteriza como un “proceso que se realiza”. Este es un proceso que satisfa*ga las metas específicas del área de procesos. Es compatible y permite el trabajo necesario para producir productos de trabajo; aunque en el nivel de capacidad 1 se notan mejoras importantes, esas mejoras se pueden perder con el tiempo si no se institucionalizan.
La aplicación de la institucionalización (las prácticas
genéricas CMMI a nivel de capacidad 2 a 5) ayuda a garantizar que se mantienen las mejoras (Carnegie Mellon Software Engineering Institute, 2010).
Nivel de capacidad 2: Se caracteriza por ser un “proceso gestionado”.
Un proceso
gestionado, es un proceso realizado que cuenta con la infraestructura básica para apoyar el proceso. Está planificado y ejecutado de conformidad con la política; emplea a personas calificadas que tienen recursos suficientes para producir salidas controladas; involucra las partes interesadas, controla y evalúa la adhesión a la descripción del proceso (Carnegie Mellon Software Engineering Institute, 2010).
Nivel de capacidad 3: Se caracteriza por ser un “proceso definido”. Este es un proceso gestionado (Nivel de capacidad 2) que se adapta desde el conjunto de procesos estándar de 66
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
acuerdo con guías de adaptación de la organización y contribuye con productos de trabajo, medidas y otra información de mejora de los procesos y de los activos organizacionales.
Una distinción importante entre los niveles de capacidad 2 y 3 es el alcance de las normas, descripción de los procesos y procedimientos. Otra diferencia es que en el nivel de capacidad 3 los procesos suelen ser descritos con mayor rigor que en el nivel de capacidad 2. Un proceso definido indica claramente el propósito, los insumos, los criterios de ingreso, actividades, funciones, medidas, medidas de verificación, salidas y criterios de salida. A nivel de capacidad 3 los procesos se gestionan de manera más proactiva con la comprensión de las interrelaciones de las actividades del proceso y las medidas detalladas de este, sus productos de trabajo y sus servicios (Carnegie Mellon Software Engineering Institute, 2010).
Nivel de Madurez 1: El nivel de madurez 1, los procesos suelen ser caóticos.
La
organización por lo general no proporciona un ambiente estable para soportar los procesos. El éxito en estas organizaciones depende de la competencia y el heroísmo de las personas de la organización y no del uso de procesos probados. A pesar de este caos, el nivel de madurez 1 en las organizaciones a menudo produce productos y servicios que funcionan, pero que con frecuencia superan el presupuesto y el cronograma (Carnegie Mellon Software Engineering Institute, 2010).
67
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
Nivel de Madurez 2: El nivel de madurez 2, en los proyectos se asegura de que se planifican y ejecutan de acuerdo con las políticas de los procesos y los proyectos emplean a personas expertas que tienen recursos suficientes para producir salidas controladas que afecten a las partes interesadas pertinentes; son monitoreados, controlados y revisados y se evalúan para la adhesión a sus descripciones de procesos. Éste nivel asegura que se mantienen las prácticas existentes en momentos de estrés (Carnegie Mellon Software Engineering Institute, 2010).
Nivel de Madurez 3: El nivel de madurez 3, los procesos están bien caracterizados y entendidos y se describen en normas, procedimientos, herramientas y métodos. Se establece un conjunto de procesos estándares para la organización, que es la base para el nivel de madurez 3 y mejorado con el tiempo. Estos procesos estándar se utilizan para establecer la coherencia en toda la organización. Los proyectos establecen sus procesos definidos mediante la adaptación de los procesos estándar de acuerdo a las directrices (Carnegie Mellon Software Engineering Institute, 2010).
Nivel de Madurez 4: El nivel de madurez 4, la organización y los proyectos establecen objetivos cuantitativos para la calidad y el rendimiento de los procesos y los utilizan como criterios en la gestión de proyectos. Los objetivos cuantitativos se basan en las necesidades del cliente, los usuarios y los ejecutores del proceso. La calidad y rendimiento de los procesos se entienden en términos estadísticos y se gestionan en toda la vida de los proyectos (Carnegie 68
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
Mellon Software Engineering Institute, 2010).
Nivel de Madurez 5: En el nivel de madurez 5, la organización mejora continuamente sus procesos basados en una comprensión cuantitativa de sus objetivos de negocio y necesidades de rendimiento. La organización utiliza un enfoque cuantitativo para entender la variación inherente en el proceso y las causas de los resultados del proceso (Carnegie Mellon Software Engineering Institute, 2010).
La tabla 7, se presenta la diferencia entre niveles de capacidad y de madurez: Tabla 7. Diferencias en los niveles CMMI (López Pérez, 2010)
Nivel de Capacidad
Nivel de Madurez
Las áreas de proceso se organizan por niveles de Las áreas de proceso se organizan por madurez categorías de áreas de proceso. La mejora se mide en niveles de capacidad que La mejora se mide utilizando niveles de reflejan la implantación incremental de un área madurez que reflejan la implementación de proceso particular. concurrente de múltiples áreas de proceso Hay cuatro niveles de capacidad (0-3). Hay cinco niveles de madurez (1-5) Hay dos tipos de prácticas: básicas y avanzadas. Hay sólo un tipo de prácticas. El concepto de práctica avanzada se consigue por otros medios Los niveles de capacidad se usan para organizar las prácticas genéricas.
Las prácticas genéricas se usan según características comunes.
Todas las prácticas genéricas se usan en todas las áreas de proceso.
Sólo se usan en un área de proceso las prácticas aplicables al nivel de madurez.
Existen prácticas genéricas para los niveles de capacidad del 1 al 3.
Existen prácticas genéricas para los niveles de madurez del 2 al 5. Algunas de las prácticas utilizadas en la representación continua se aplican en algunas áreas de proceso.
69
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
Existe la posibilidad de obtener el nivel de madurez equivalente al perfil obtenido.
No es posible determinar con qué perfil de la representación continua se corresponde un determinado nivel.
2.6 Nivel Organizacional La gestión organizacional es un área de apoyo a las empresas, relacionada con diseñar, estructurar e implementar los procesos y estrategias necesarias para lograr los mejores resultados de la compañía. Además, se encarga de analizar las estructuras organizacionales, diagnosticar el clima organizacional, realizar valoración de cargos, elaborar programas de motivación y asesorar en programas de certificación para empresas familiarmente responsables, entre otros (Inova, 2013).
Las tres áreas principales que compone el Desarrollo Organizacional son las siguientes: Gestión del Desempeño. Compensaciones. Desarrollo de Recursos Humanos
La gestión organizacional define tres escalas, la estratégica, la táctica y la operativa, las cuales reflejan diferentes niveles de gestión en una empresa, ya sea bajo la orientación de los objetivos o en la toma de decisiones en la organización (Tabares & Lochmuller, 2012).
70
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
En una organización se tratan problemas diferentes y se toman diferentes tipos de decisiones en cada uno de los tres niveles. A nivel operativo, generalmente los problemas son “bien” estructurados, se tratan más bien de problemas rutinarios y repetitivos para los cuales existe una solución que a menudo ya está documentada en manuales, etc., y en este sentido predefinida; mientras a nivel estratégico la situación es menos organizada y los problemas son poco estructurados, generalmente se trata de problemas borrosos o difusos y complejos para los cuales no hay soluciones estereotipadas o prefabricadas como por ejemplo en el caso de fusión entre dos organizaciones (Swenson, 2010).
Un nivel no puede existir sin los demás. El nivel estratégico se enfoca en la navegación de los procesos y de la organización, mientras el otro extremo, el nivel operacional, proporciona los instrumentos para poderlo lograrlo. A nivel táctico, que se encuentra entre el nivel estratégico y operacional, se emula un tablero que permite la observación de cada uno de los procesos para apoyar la toma de decisiones.
2.7 Espacio Multidimensional para La Gestión Por Procesos “La tecnología y métodos relacionados con los Procesos de Negocio (PN) están llamados a ser la pieza clave en la competitividad de las organizaciones, ya que su objetivo es ser el “paraguas” que arropa a todas las otras tecnologías TIC. Por ello, el campo de la ingeniería del software necesita incorporar el estudio y manejo de los PN. Además, el concepto de PN está íntimamente relacionado con la idea de orientación a servicios y tiene 71
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
fuertes vínculos con otros conceptos como los requisitos y los modelos independientes de la computación. Por otro lado, los sistemas software son cada vez más, piezas para dar soporte de automatización a los PN de las organizaciones. Las organizaciones necesitan adaptarse de forma rápida a los cambios, y por ello, necesitan disponer de una tecnología para la gestión de procesos de negocio (Business Process Management, BPM) que a la fuerza está basada en los sistemas de información y en los últimos avances de las tecnologías software.” (Kang & Kim, 2011).
El espacio multidimensional para la gestión por procesos es una propuesta hecha por (Tabares & Lochmuller, 2012), donde involucra tres elementos fundamentales para la gestión de los procesos: Arquitectura Empresarial, Nivel Organizacional y Modelo de Madurez en un espacio multidimensional, donde cada uno de estos elementos se refleja en el espacio como ejes. La intersección de estos tres elementos dará una propuesta de las acciones a tener en cuenta cuando se requiera hacer una gestión por procesos desde alguno de los tres niveles organizaciones: Operativo, Táctico o Estratégico, con las sub-arquitecturas de la arquitectura empresarial: Arquitectura Tecnológica, Arquitectura de Aplicaciones, Arquitectura de Información y/o Arquitectura de Negocio y el nivel de madurez en el cual se encuentra la organización que requiere realizar una gestión por procesos. La figura 7 muestra el espacio multidimensional definido desde tres ejes, Arquitectura empresarial, Nivel Organizacional y Modelo de Madurez.
72
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
Figura 7. Espacio Multidimensional para la gestión por procesos Fuente: (Tabares & Lochmuller, 2012)
El espacio multidimensional es un modelo que orienta la gestión por procesos de forma controlada. Esto permite que el impacto que causan los cambios en la organización pueda ser analizado desde diferentes perspectivas (Tabares & Lochmuller, 2012).
El análisis se guía por el siguiente método: Identificación del estado de la organización desde cada eje. Se deben establecer las condiciones iniciales en las que se encuentra la organización desde cada uno de los ejes del espacio multidimensional. Especialmente, las involucradas en el cambio con cada uno de los elementos. Clasificación de cada uno de los elementos que serán impactados por el cambio.
73
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
Definición de las posibles interrelaciones entre las escalas y elementos definidos para cada uno de los ejes. Esta permite establecer características estándares que orienten la organización ante cambios programados y no programados.
Gestión controlada del proceso. Esta se formaliza en términos de la función Gpi = f(NOg, MMn, AEa), como se ilustra en la figura 7 Espacio Multidimensional. Dónde: Gpi: es la gestión resultante cuando un proceso pi cambia (i=1..n), NOg: el nivel organizacional g, AE: la arquitectura empresarial a, y el MM: el nivel n en el modelo de madurez.
2.8 Resumen En este capítulo se realizó una revisión del estado de arte de varios conceptos que apalancarán el modelo de gobernabilidad para el espacio multidimensional propuesto por (Tabares & Lochmuller, 2012). Para cumplir con esto, en el capítulo se presentaron los conceptos de gestión por procesos, arquitectura empresarial, gestión de la organización, frameworks, TOGAF, modelos de madurez y espacio multidimensional para la gestión por procesos. La revisión de las definiciones de cada uno de estos concepto facilitan la comprensión del modelo de gobernabilidad que se propondrá y fueron tratados con bibliografía pertinente a los temas propuestos.
El estudio proporcionó datos necesarios para identificar de cada uno de los puntos analizados 74
Capítulo 2 Estado del Arte Parte I Gestión por Procesos
la información más pertinente, tal información brindó
conceptos que
ayudan
a la
implementación del modelo de gobernabilidad; abstrayendo y analizando los componentes principales que apoyen a la gobernabilidad de una gestión por procesos por la ocurrencia de cambios en la organización, es así como el desarrollo de este estado del arte brinda las herramientas
pertinentes
y
adecuadas
en
la
construcción
posterior
del
espacio
multidimensional, además, establece una serie de conceptos que se apoyan en autores competentes en el tema.
El desarrollo del estado del arte en este trabajo se establece como eje conceptual tratando de puntualizar los conocimientos y teorías más oportunas para el avance posterior de estrategias que apoyen la creación de un espacio multidimensional.
75
Capítulo 3 Estado del Arte Parte II - Gobernanza en las Tecnología de Información En este capítulo se presenta una revisión del estado de arte sobre los conceptos que se tendrán en cuenta para la realización del modelo de gobernabilidad basado en COBIT para la gestión por procesos definida en un espacio multidimensional. La revisión se realizará desde la gobernabilidad en TOGAF, COBIT, SOA y una revisión al framework AUT SOA.
Para
desarrollar esto se plantean dos objetivos: (1) Realizar un acercamiento de los conceptos anteriormente mencionados, validando lo más relevante para la gobernabilidad que se propondrá; (2) Presentar los principales conceptos que apalanquen el modelo de gobernabilidad para la gestión por procesos en el modelo multidimensional.
76
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
3.1 Gobierno Empresarial El logro de los objetivos en diversos ámbitos se realiza por medio de una articulación de elementos cruciales, y la gestión de estos para determinar el camino más adecuado para alcanzar metas, este proceso se define como gobernanza, teniendo en cuenta que la Real Academia Española (RAE) define gobernanza como “arte o manera de gobernar que se propone como objetivo el logro de un desarrollo económico, social e institucional duradero, promoviendo un sano equilibrio entre el Estado, la sociedad civil y el mercado de la economía” (Real Academia Española, 2005).
Ahora es necesario plantear algunas definiciones del área más específica, en este caso, la gobernabilidad empresarial.
Por tanto se presentan unas definiciones dadas por algunos
autores y organizaciones especializadas en la tabla 8.
Tabla 8. Descripción Gobierno Empresarial
Autor (Carrillo, 2009)
Descripción de Gobierno Empresarial Conjunto de responsabilidades y prácticas ejecutadas por la junta directiva y la gerencia ejecutiva, teniendo como objetivos: Proveer dirección estratégica. Asegurar el logro de los objetivos. Establecer que adecuadamente. 77
los
riesgos
se
administran
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
Verificar que los recursos de la empresa se utilizan responsablemente. (OCDE, 2004)
Sistema por el cual las sociedades son dirigidas y controladas. La estructura del gobierno corporativo especifica la distribución de los derechos y responsabilidades entre los diferentes participantes de la sociedad, tales como el directorio, los gerentes, los accionistas y otros agentes económicos que mantengan algún interés en la empresa. El gobierno corporativo también provee la estructura a través de la cual se establecen los objetivos de la empresa, los medios para alcanzar estos objetivos, así como la forma de hacer un seguimiento a su desempeño.
(CAF, 2005)
Conjunto de prácticas, formales e informales, que gobiernan las relaciones entre los administradores y todos aquellos que invierten recursos en la empresa, principalmente accionistas y acreedores.
Según (Muñoz & Ulloa, 2011) el gobierno empresarial tiene dos dimensiones: Gobierno Corporativo, cuya misión es la conformidad. Gobierno de Negocio, cuya misión es el desempeño.
La conformidad se adhiere a la legislación, políticas y requerimientos de auditoría y el desempeño exige que las tecnologías de información se involucren en la organización. Ambas deben tener un equilibrio y estar íntimamente relacionadas como se presenta en la figura 8.
78
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
Figura 8. Adaptación del modelo de Peter Weill y Jeanne W. Ross Fuente: (Weill & Ross, 2004, p.5)
3.2 Gobierno de TI El gobierno de TI tiene como objetivo alinear las estrategias de negocio y las Tecnologías de Información (TI) de manera eficaz y eficiente (Wessels & Loggerenberg, 2012). La junta directiva, ejecutivos y gerentes adoptan el gobierno de TI en sus empresas para garantizar la eficiencia, disminución de costos y un mayor control de la infraestructura de TI (VAN GREMBERGEN, 2003). Marcos o Frameworks de gobernabilidad en TI y estándares, tales como COBIT, ITIL e ISO 17799 (Valdés Castro, 2013), (Goeken & Alter, 2009), (Carroll, Ridley & Young, 2004: 233), ISO 38500:2008 y internacionalmente y promueven estos beneficios. 79
(Craig, 2005)., son aceptados
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
A pesar de esto, estudios recientes realizados por Price Waterhouse Coopers reflejan que el 76% de varios CEOs y CIOs están conscientes de los beneficios que ofrece los marcos de gobernabilidad en TI, sin embargo, sólo el 42% de ellos tenían la intención de aplicar dicho marco (Wessels & Loggerenberg, 2012).
Según el IT Gobernance Institute, el gobierno de TI tiene cuatro principios fundamentales (ITGI, 2007): Dirigir y controlar Responsabilidad Rendición de cuentas Actividades
El gobierno de TI tiene interesados internos y externos, con distintas preocupaciones, a las que el gobierno de TI tiene que darles respuesta.
Entre los interesados internos se pueden
mencionar al gerente de TI, la junta directiva y los gerentes ejecutivos y de negocios, el gerente de riesgo y cumplimiento y el auditor de TI.
Los interesados externos son
fundamentalmente los auditores externos, los clientes, los reguladores y los proveedores, cada uno con preguntas e inquietudes particulares (Muñoz & Ulloa, 2011).
80
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
Las actividades del gobierno de TI se pueden agrupar en cinco áreas de enfoque que son ilustradas en la Figura 9 (ITGI, 2007): Alineamiento estratégico Entrega de valor Administración de riesgos Administración de recursos Medición del desempeño
Figura 9. Áreas de enfoque del gobierno de TI Fuente: (ITGI, 2007)
A continuación se detallan las áreas de enfoque del gobierno de TI en la tabla 9 según (ITGI, 2007). 81
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
Tabla 9. Áreas de enfoque de gobierno de TI ITGI (ITGI, 2007)
Áreas de Enfoque
Alineamiento estratégico
Entrega de valor
Administración de riesgos
Administración de recursos Medición del desempeño
Descripción Se enfoca en asegurar el enlace de los planes del negocio y de TI; en definir, mantener y validar la proposición de valor de TI y en alinear las operaciones de TI con las operaciones de la empresa. Según el informe IT Governance Broad Briefing del ITGI (ITGI, 2003) la pregunta clave es si la inversión de una empresa de TI está en armonía con sus objetivos estratégicos (la intención, la estrategia actual y objetivos de la empresa) y por lo tanto la construcción de las capacidades necesarias para ofrecer un valor empresarial. Este estado de la armonía que se conoce como “la alineación.” Es complejo, multifacético y nunca del todo logrado. Se refiere a ejecutar la proposición de valor a través de todo el ciclo de entrega, asegurando que TI entrega los beneficios acordados alineados con la estrategia, concentrándose en la optimización de costos, y demostrando el valor intrínseco de TI. Según el informe IT Governance Broad Briefing del ITGI (ITGI, 2003) dice que la entrega de valor de las TI se traduce en entregar a tiempo y dentro del presupuesto. “El valor de IT está en el ojo del espectador”. Requiere: - Conciencia de riesgo por parte de los directores superiores de la empresa. - Un claro entendimiento del apetito de riesgo de la empresa. - Un entendimiento de los requerimientos de cumplimiento. - Transparencia sobre los riesgos significativos de la empresa. - Implementar las responsabilidades de la administración de riesgos dentro de la organización. Se refiere a la inversión óptima y a la adecuada administración de los recursos críticos de TI tales como: aplicaciones, información, infraestructura, datos. Da seguimiento y supervisa la estrategia de implementación, la finalización de proyectos, el desempeño de procesos y la entrega de servicio. Si no hay forma de medir y evaluar las actividades de TI, no es posible gobernarlas ni asegurar el alineamiento, la entrega de valor, la administración de riesgos y el uso efectivo de los recursos.
Gobierno de TI es igualmente importante en la determinación y el control de cómo la organización opte por utilizar sus recursos de TI para cumplir con su estrategia de negocios y para esto debería responder a tres preguntas como lo plantea (Muñoz & Ulloa, 2011): ¿Qué decisiones se deben tomar a fin de asegurar una efectiva administración y uso de TI? 82
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
¿Quién debe tomar esas decisiones? ¿Cómo se tomarán y monitorearán tales decisiones?
La gobernabilidad de TI contiene característiccas que son indispensables para el desarrollo y puesta en marcha de la implementación de tecnologías de la información. La gobernabilidad de TI
presenta características fundamentales que permiten un buen gobierno de las
tecnologías de la información y que a su vez soportan la adecuada integración con los ejes gerenciales de la organización, más aun, la gobernabilidad de TI se enmarca y se integra con la organización, pero este vínculo no se da de manera fortuita, para que este se realice de manera eficaz se requiere la integración de un framework que gestione este proceso, existen pues algunos marcos o framework que se analizan a continuación tomando tres marcos importantes según (Valdés Castro, 2013), (Goeken & Alter, 2009), (Carroll, Ridley & Young, 2004: 233) y (Craig, 2005).
3.3 Gobernabilidad en COBIT Existen gran cantidad de modelos y estándares que apoyan la gestión de TI por medio de diferentes áreas, cada uno de estos se basan en diferentes aspectos como se puede observar en la figura 10. Para la realización de este trabajo de grado se tendrá en cuenta a COBIT 5 pues es uno de los modelos más usados por la industria para la gobernabilidad y gestión de las TI (ISACA, 2008).
83
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
Figura 10. Modelos de Gobernabilidad en TI Fuente: (Gartner, 2009)
3.3.1 Definición COBIT (objetivos de control para tecnología de la información y tecnologías relacionadas) que por su siglas en ingles, Control Objectives for Information Systems and related Technology es el marco desarrollado por ISACA (Information Systems Audit and Control Association) para el gobierno de la TI lanzado en 1996 y desde entonces ha cambiado las prácticas para el gobiernos de TI, los procesos de negocio y las prácticas de control; este marco consolida de manera eficiente los estándares de fuentes globales permitiendo de esta manera la integración y el control de las organizaciones en TI y demás áreas del negocio (ISACA, 2012). 84
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
Desde el desarrollo inicial de COBIT
hasta el momento se pueden analizar diferentes
versiones en las cuales se presentan características diferentes que han ido avanzando hasta llegar a la versión 5.0 (ISACA, 2012) con la cual contamos en la actualidad. En la figura 11 se presentan las versiones que tiene COBIT a la actualidad.
Figura 11. Evolución de versiones COBIT Fuente: http://www.crisoltic.com/2012/04/cobit-5-que-hay-de-nuevo.html
Como se puede ver en las diferentes versiones publicadas de COBIT existe un factor común y es precisamente la unidad de las tecnologías de la información a las demás áreas de las organizaciones. Por tal motivo COBIT se aplica a los sistemas de información, además de la gestión de la tecnología y la implementación de los procesos de gobierno de toda la organización, todo el modelo se basa en que los recursos de TI y demás procesos deben ser administrados
por un conjunto de procesos naturalmente agrupados para proveer la 85
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
información pertinente y confiable que requiere una organización para lograr sus objetivos (Evelina, Pia, Hook, Wurtemberg, & Rocha, 2010).
La estructura planteada por COBIT, propone un marco donde los diversos criterios de la información son analizados y evaluados, criterios tales como la seguridad, la calidad y demás variables en el desempeño de la organización, teniendo en cuenta además de lo anterior los recursos tanto físicos como humanos que entran en relación directa con la información y los procesos, elevando así el número de herramientas que posteriormente permitirá una correcta evaluación (Hosseinbeig, Karimzadgan, & Vahdat, 2011).
El modelo de referencia de procesos de COBIT 5 divide los procesos de gobierno y de gestión de la TI empresarial en dos dominios principales de procesos, como se presenta en la figura 12 (ISACA, 2012): Gobierno: Contiene cinco procesos de gobierno; dentro de cada proceso se definen prácticas de evaluación, orientación y supervisión (EDM) Gestión: Contiene cuatro dominios, en consonancia con las áreas de responsabilidad de planificar, construir, ejecutar y supervisar y proporciona cobertura extremo a extremo de las TI. Estos dominios son una evolución de la estructura de procesos y dominios de COBIT 4.1. Los nombres de estos dominios han sido elegidos de acuerdo a estas designaciones de áreas principales, pero contienen más verbos para describirlos: 86
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
o Alinear, Planificar y Organizar (Align, Plan and Organise, APO) o Construir, Adquirir e Implementar (Build, Acquire and Implement, BAI) o Entregar, dar Servicio y Soporte (Deliver, Service and Support, DSS) o Supervisar, Evaluar y Valorar (Monitor, Evaluate and Assess, MEA)
Figura 12. Áreas Claves de Gobierno y Gestión de COBIT 5 Fuente: (ISACA, 2012)
En estas áreas claves se reflejan los objetivos de control de alto nivel (ver fases/objetivos en el ANEXO A - Dominios, Procesos y Objetivos de COBIT) donde se tiene en cuenta aspectos fundamentales del manejo de la información, además la tecnología, control de negocio y 87
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
demás componentes inmersos en el proceso de la organización. La ejecución de estas fases facilitará de manera eficiente el control de la información brindando eficiencia e integridad.
3.3.2 Procesos de Gobierno y Gestión en COBIT Evaluar, Orientar y Supervisar (Gobierno) En este dominio se analiza y articula los requerimientos para el gobierno de TI de la empresa y pone en marcha y mantiene efectivas las estructuras, procesos y prácticas facilitadores, con claridad de las responsabilidades y la autoridad para alcanzar la misión, las metas y objetivos de la empresa. A su vez ayuda a optimizar la contribución al valor del negocio desde los procesos de negocio, de los servicios TI y activos de TI resultado de la inversión hecha por TI a unos costos aceptables (ISACA, 2012).
Este dominio del desarrollo del modelo COBIT se encuentra estructurado y compuesto de los procesos que se presentan en la figura 13.
Figura 13. Evaluar, Orientar y Supervisar COBIT
88
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
Alinear, Planificar y Organizar (Gestión) En este dominio del desarrollo del modelo de COBIT se plantea generalmente una estrategia y un método a seguir con el cual se busca identificar en qué forma las tecnologías de la información logran de manera acertada contribuir al desarrollo y logro de los objetivos de las organizaciones, por tanto se genera una visión estratégica que debe ser administrada y comunicada de tal suerte que logre ser efectiva y se acople al modelo de negocio, buscando así una mejor comprensión de las estrategias de negocio y su futura integración con las estrategias de TI (IT Governance Institute, 2007).
Este dominio cubre los siguientes cuestionamientos típicos de la gerencia: ¿Están alineadas las estrategias de TI y del negocio? ¿La empresa está alcanzando un uso óptimo de sus recursos? ¿Entienden todas las personas dentro de la organización los objetivos de TI? ¿Se entienden y administran los riesgos de TI? ¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?
Este dominio del desarrollo del modelo COBIT se encuentra estructurado y compuesto de los objetivos que se presentan en la figura 14.
89
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
Figura 14. Alinear, Planificar y Organizar COBIT
Construir, Adquirir e Implementar (Gestión) La necesidad de una nueva aplicación o función requiere de un análisis antes de la compra o desarrollo para garantizar que los requisitos de negocio se satisfacen con un enfoque efectivo y eficiente.
Este dominio cubre la definición de las necesidades, considera las fuentes
alternativas, realiza una revisión de la factibilidad tecnológica y económica, ejecuta un análisis de riesgo y de costo-beneficio y concluye con una decisión final de “desarrollar” o “comprar”. Todos estos pasos permiten a las organizaciones minimizar el costo para adquirir e implementar soluciones, mientras que al mismo tiempo facilitan el logro de los objetivos del 90
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
negocio (IT Governance Institute, 2007).
Este dominio, por lo general, cubre los siguientes cuestionamientos de la gerencia: ¿Es probable que los nuevos proyectos generen soluciones que satisfa*gan las necesidades del negocio? ¿Es probable que los nuevos proyectos sean entregados a tiempo y dentro del presupuesto? ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? ¿Los cambios no afectarán a las operaciones actuales del negocio?
La figura 15 ilustra cómo se encuentra estructurada esta fase con sus objetivos y lineamientos.
Figura 15. Construir, Adquirir e Implementar COBIT
91
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
Entregar, dar Servicio y Soporte (Gestión) Este dominio cubre la entrega de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativas (IT Governance Institute, 2007). Por lo general cubre las siguientes preguntas de la gerencia: ¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio? ¿Están optimizados los costos de TI? ¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? ¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?
La figura 16 ilustra este domino con sus objetivos y lineamientos.
Figura 16. Entregar, dar Servicio y Soporte COBIT
92
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
Supervisar, Evaluar y Valorar (Gestión) Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requisitos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno (IT Governance Institute, 2007). Por lo general abarca las siguientes preguntas de la gerencia: ¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? ¿La Gerencia garantiza que los controles internos son efectivos y eficientes? ¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? ¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?
La figura 17 muestra los objetivos de este domino.
Figura 17. Supervisar, Evaluar y Valorar COBIT
93
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
3.4 Gobernabilidad en ITIL ITIL (Information Technology Infrastructure Library) es un estándar que fue introducido y distribuido por la Oficina de Comercio del Gobierno del Reino Unido (OGC) con el fin de proporcionar un conjunto de conceptos y mejores prácticas para la administración de servicios de TI (Potgieter, Botha, & Lew, 2005). En la actualidad ITIL es el enfoque más ampliamente aceptado para la gestión de servicios de TI en el mundo (Sahibudin, Sharifi, & Ayat, 2008).
Originalmente se creó como una colección de libros, cada uno de los cuales cubría un área específica de prácticas de la administración de servicios de TI. ITIL se construyó utilizando el modelo de procesos de control y administración de las operaciones atribuido a Edwards Deming y a su ciclo Plan-Do-Check-Act –PDCA– (Arveson, 1998), (Muñoz & Ulloa, 2011).
Publicado por primera vez en 1996 (v1) con más de treinta volúmenes, ITIL ha pasado por varios procesos de revisión, actualización y consolidación que lo llevaron a la versión 2 en 2000/2001 y a la versión actual (v3) publicada en mayo de 2007, que contiene cinco volúmenes (Muñoz & Ulloa, 2011): ITIL Service Strategy ITIL Service Design ITIL Service Transition 94
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
ITIL Service Operation ITIL Continual Service Improvement
ITIL tiene un enfoque integrado como es requerido por el estándar ISO / IEC 20000 con las siguientes directrices como presenta los autores (Sahibudin, Sharifi, & Ayat, 2008):
Estrategia de Servicios: Proporciona orientación sobre la forma de diseñar, desarrollar y poner en práctica la gestión del servicio desde la perspectiva de la capacidad organizativa y estratégica de activos. La estrategia de servicio da una orientación sobre los principios que sustentan la práctica de la gestión de los servicios que son útiles para el desarrollo de las políticas, directrices y procesos en todo el ciclo de vida del servicio en ITIL. La estrategia de servicio cubre las siguientes partes de los sistemas de TI: el desarrollo de los mercados internos y externos, los activos de servicios, catálogo de servicios y la ejecución de la estrategia a través del ciclo de vida del servicio.
La estrategia de servicio cubre: Gestión financiera. Gestión del portafolio de servicio.
95
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
Gestión de la demanda.
Diseño del Servicio: Se trata de una guía para el diseño y desarrollo de los procesos de gestión de los servicios.
Abarca los principios y métodos para convertir los objetivos
estratégicos en portafolios de servicios. El alcance del diseño de servicios incluye los cambios y mejoras necesarias para aumentar o mantener el valor a los clientes durante el ciclo de vida de los servicios, continuidad de los servicios, el logro de los niveles de servicio y conformidad de las normas y reglamentos. El diseño de los servicios incluye los siguientes procesos (Taylor F. W., 1997): Gestión del catálogo de servicios. Gestión del nivel de servicio. Gestión de la capacidad. Gestión de la disponibilidad. Gestión de la continuidad de los servicios. Gestión de la seguridad de la información y aplicaciones.
Transición de los servicios: Se trata de una guía para el desarrollo y la mejora de las capacidades para la transición de los servicios nuevos y modificados en las operaciones. Esta 96
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
parte del marco de ITIL combina prácticas de gestión de versiones, gestión de programas y la gestión de riesgos y los coloca en el contexto práctico de gestión de servicios. Los procesos de transición de servicios son: Gestión de cambios. Gestión de la configuración. Gestión de la liberación y despliegue. Gestión del conocimiento. Gestión de los Stakeholder. Planeación de la transición. Evaluación del servicio y soporte.
Operación de los servicios: Incorpora prácticas en la operación del servicio. Incluye la orientación sobre el logro de la eficacia y eficiencia en la entrega y soporte de los servicios con el fin de asegurar el valor para el cliente y el proveedor del servicio. Los objetivos estratégicos son en última instancia los que se realizan a través de la operación del servicio, por lo que es una capacidad crítica. Los procesos son: Gestión de eventos. Gestión de incidentes. 97
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
Gestión de requerimientos. Gestión de problemas. Gestión de acceso.
Mejora continua del servicio: Se fundamenta en la creación y el mantenimiento de valor para los clientes mediante un mejor diseño, implantación y operación de los servicios. Combina los principios, prácticas y métodos de gestión de calidad, gestión del cambio y la mejora de la capacidad. Los procesos son: Siete pasos de mejora de procesos. Gestión del nivel de servicios.
Algunos de los beneficios que presenta la implementación de ITIL son: Incrementar la satisfacción de los usuarios con los servicios TI según el trabajo de grado de (Quevedo, 2009): Reducir el riesgo de no encontrar los requisitos de negocio para los servicios TI. Reducir costos en el desarrollo de procedimientos y prácticas dentro de una organización. Mejor comunicación y flujo de información entre el personal de TI y los clientes. 98
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
Guía y estándares para el personal IT. Mayor productividad y mejor uso de los niveles de experiencia. Una aproximación de calidad a los servicios TI
3.5 Gobernabilidad en TOGAF La disciplina de la Arquitectura Empresarial ha surgido en los últimos quince a veinte años1 dentro de las funciones de TI en muchas organizaciones. Para ser implementada con éxito, dichas arquitecturas depende del nivel efectivo de gobernabilidad en TI.
La Arquitectura Empresarial es a menudo proyectada en la intersección entre la estrategia de TI y la estrategia del negocio
(Clarke, 2010).
Su eficiencia depende de una óptima
especificación de la arquitectura de TI para apoyar la organización del modelo de negocio. La versión 9 de TOGAF lanzada en el 20092, se ha ampliado para abordar muchos de los problemas de gobierno en TI.
Unos de los beneficios que aporta TOGAF 9 en la
gobernabilidad de TI son (The Open Group, 2013): Vínculos entre los procesos, recursos e información de TI con las estrategias y
1
http://www.doi.gov/ocio/architecture/eainfo2.htm
2
http://www.opengroup.org/togaf/
99
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
objetivos de la organización. Integran e institucionaliza las mejores prácticas de TI. Alineación con los marcos de la industria tales como COBIT. Permite a las organizaciones sacar el máximo provecho de la información, infraestructura y activos de hardware y software. Protege los activos digitales de la organización. Promueve la gestión de los riesgos.
TOGAF afirma que hay tres elementos importantes en la estrategia de arquitectura de gobierno (Clarke, 2010): Un Comité de arquitectura de la organización para supervisar la implementación de la estrategia de TI. Una comprensión de los principios de arquitectura para guiar, informar y apoyar a la organización sobre el cumplimiento de su misión a través de la utilización de TI. Una estrategia de cumplimiento de arquitectura debería ser adoptada para garantizar el cumplimiento de la arquitectura, incluyendo las evaluaciones de impacto del proyecto, una arquitectura de proceso formal de revisión de cumplimiento y posiblemente incluyendo la participación del equipo de arquitectura de la contratación del producto. 100
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
Dado que el apoyo que brindará TOGAF para la realización de este trabajo se centra en la gobernabilidad, a continuación se presenta la fase G que hace referencia a la gobernabilidad dentro del ADM como se muestra en la figura 18; en este trabajo se presentará los objetivos, el enfoque, entradas y salidas que tiene esta fase dentro de TOGAF.
Figura 18. TOGAF Fase G Fuente: http://pubs.opengroup.org/architecture/togaf9-doc/arch/
Objetivo de la fase G Los objetivos de la fase G son (TOGAF, 2013):
101
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
Asegurar conformidad con el objetivo de la arquitectura para la implementación del proyecto. Realizar funciones apropiadas de arquitectura para la gobernabilidad de la solución y cualquier aplicación dirigida por cambios en la arquitectura.
Enfoque: Es aquí donde toda la información para la gestión exitosa de los proyectos se reúne. Para permitir la rápida obtención de valor para el negocio y los beneficios y reducir al mínimo el riesgo en el programa de transformación y migración, el enfoque preferido es el despliegue de la arquitectura seleccionada como una serie de transiciones. Cada transición representa un paso más hacia el objetivo, y cada uno ofrece un beneficio empresarial en su propio derecho. Por lo tanto, el enfoque global en la fase G es: Establecer un programa de aplicación que permita la entrega de las arquitecturas de transición acordado para la implementación durante la fase de planeamiento de migración Adoptar un programa de implementación por fases que refleje las prioridades de la empresa contenidos en la hoja de ruta de la Arquitectura. Seguir estándares para la empresa, TI y la gobernabilidad de las arquitecturas. Definir un marco de operaciones para garantizar la vida útil de la solución implementada. 102
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
En la tabla 10 y 11 se describe las entradas y salidas que tiene la fase G de Gobernabilidad en TOGAF.
Tabla 10. Entradas Fase G Gobernabilidad
ENTRADAS Material de referencia externo a la empresa Requerimientos para el trabajo de Arquitectura Capacidad de evaluación Modelo organizacional para la Arquitectura Empresarial: Alcance en el impacto de la organización. Evaluación de la madurez y gaps. Roles y responsabilidades para el equipo de arquitectura. Restricciones en el trabajo de arquitectura. Gobierno y soporte estratégico Adaptar el Marco de Arquitectura: Adaptar el método de arquitectura. Adaptar contenido de arquitectura (Entregas y Artefactos) Configuración y despliegue de herramientas. Declaración de trabajo de arquitectura. Visión Arquitectónica. Responsabilidad de la arquitectura: Reusabilidad de construcción de bloques. 103
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
Modelos de referencia disponibles al público. Organización específica de modelos de referencia. Organización de estándares. Definición de documento de arquitectura. Especificación de requerimientos arquitectónicos: Requerimientos arquitectónicos. Resultado de análisis de Gap (Para el negocio, los datos, Aplicación y Arquitectura Tecnológica) Hoja de ruta arquitectónica. Implementación de modelo de gobernabilidad. Contrato arquitectónico. Requerimientos para el trabajo de arquitectura. Implementación y plan de migración.
Tabla 11. Salidas Fase G Gobernabilidad
SALIDA Contrato de arquitectura Evaluación de cumplimiento Solicitudes de Cambio Repositorio de arquitectura. Recomendaciones de arquitectura Recomendaciones sobre los requisitos de prestación de servicios Recomendaciones sobre medidas de rendimiento 104
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
Acuerdos de niveles de servicio. Visión arquitectónica. Documento de definición arquitectónica Modelos operativos de negocio y TI para la solución implementada
Pasos: El nivel de detalle para abordar la fase G dependerá del alcance y los objetivos de los esfuerzos de la arquitectura en general. El orden de los pasos en la Fase G, así como el tiempo en el que están formalmente iniciados y terminados debe adaptarse a la situación en cuestión de
acuerdo
con
la
arquitectura
de
la
gobernanza
establecida.
Naturaleza de la gobernabilidad en TOGAF La gobernanza es esencial para asegurar que el negocio se dirige correctamente. Para esto se requiere el control y cumplimiento estricto de las normas, guías y utilización equitativa de los recursos para garantizar la sostenibilidad de los objetivos estratégicos de una organización.
A continuación se describen los principios básicos de la gestión empresarial (TOGAF, 2013): Foco en los derechos, roles y tratamiento equitativo de los stakeholders. Comunicación, transparencia y responsabilidades de la junta. Asegurar: o Dirección estratégica de la organización. o Seguimiento eficaz de la gestión por la junta. 105
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
o Rendición de cuentas por la junta para la empresa y para los accionistas. Responsabilidades de la junta: o Revisión y dirección de la estrategia corporativa. o Supervisión del cumplimiento de los objetivos de desempeño de la gerencia.
La OECD considera una visión tradicional de la gobernanza como: "... el sistema por el cual las corporaciones de negocios son dirigidas y controladas.
La estructura de gobierno
corporativo especifica la distribución de derechos y responsabilidades entre los diferentes participantes en la empresa, tales como gerentes, accionistas y otras partes interesadas y detalla las normas y procedimientos para la toma de decisiones sobre asuntos corporativos. También proporciona la estructura a través del cual se establecen los objetivos de la empresa, y los medios para alcanzar dichos objetivos y la supervisión del rendimiento." (TOGAF, 2013).
Características de la gobernanza: Las siguientes características ponen en relieve el valor y las necesidades de una gobernanza como un enfoque que se adoptará dentro de las organizaciones y sus relaciones con todas las partes involucradas (Naidoo, 2002): Disciplina: Todas las partes interesadas tendrán el compromiso de cumplir con los procedimientos, los procesos y las estructuras de autoridad establecidos por la organización. Transparencia: Todas las acciones llevadas a cabo y su apoyo a las decisiones estarán 106
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
disponibles para su inspección por las partes de la organización y los proveedores autorizados. Independencia: Todos los procesos, toma de decisiones y los mecanismos utilizados se establecerán con el fin de minimizar o evitar posibles conflictos de intereses. Responsabilidad: Grupos identificables dentro de la organización, por ejemplo las juntas de gobierno que toman las decisiones estarán autorizados y serán los responsables de sus actos.
Se requiere que cada parte contratada actúe con
responsabilidad para la organización y sus grupos de interés. Justicia: Todas las decisiones tomadas, los procesos utilizados y su aplicación no se les permitirá crear una ventaja injusta a ningún partido en particular.
3.6 Gobierno SOA El concepto de SOA, por sus siglas en inglés, Service Oriented Architecture (Arquitectura Orientada a Servicios), no es nuevo, pues se viene manejando desde los años 80’s del siglo XX y fue impulsado por las comunidades que dieron inicio al diseño de software a través de componentes, que en su momento fue denominado la Programación Orientada a Objetos (OOP), por sus siglas en inglés Oriented Object Programming (Arsanjani, Ghosh, Allam, Abdollah, Ganapathy, & Holley, 2004).
En 1983, la ISO (International Standards
Organization) adoptó el modelo OSI (Open System Interconnect) como una referencia común para el desarrollo de estándares de comunicaciones de datos (Larman, 1997). Mientras que la tecnología y las capacidades en cada capa del modelo OSI han cambiado dramáticamente a 107
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
medida que avanza la tecnología, la arquitectura en sí permanece. Al hacer una correlación de este concepto respecto a la funcionabilidad que debe presentar un servicio tecnológico, en la medida que las interfaces o relaciones entre servicios permanezcan estables y soportadas con estándares de industria, los servicios, en sí mismos, pueden ser cambiados fácilmente según las necesidades que vayan demandando los requerimientos de negocio
(Arango Serna,
Londoño Salazar, & Zapata Costés, 2010).
Se denomina Arquitectura Orientada a Servicios a un marco conceptual de arquitecturas informáticas de negocios que se caracteriza por ofrecer las funcionalidades básicas de los Sistemas de Información de una empresa a través de servicios reutilizables (Marks & Bell, 2006). El principal objetivo de SOA es construir los distintos sistemas de información de una empresa sobre un conjunto de estándares informáticos con el objetivo de que todos ellos, incluso los realizados con distintas tecnologías, puedan operar de forma integrada y sin que existan dependencias entre los mismos (Papazoglou, Kittl, Dustdar, & Levy, 2006).
En el contexto SOA, el gobierno es el proceso de asegurar que todos los intereses de los participantes en la arquitectura son tenidos en cuenta en la planeación, diseño y ejecución de la SOA de una organización.
En este sentido el gobierno de SOA hace referencia a la
organización, procesos, procedimientos, políticas y métricas requeridas para administrar una SOA exitosamente, entendiendo como exitosa una SOA que conoce y promueve los objetivos del negocio todo el tiempo (Bell, 2008) (Cruz Ortega & Correal Torres, 2011). 108
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
El gobierno SOA pretende dotar de los mecanismos de control, procesos, procedimientos y métodos probados en la práctica para garantizar el orden en las decisiones que se tomen en una iniciativa SOA, evitando el caos en cualquier proyecto SOA que se plantee, logrando la efectividad y agilidad esperada en la transición hacia SOA (TCP , 2013).
La ausencia del gobierno en SOA puede provocar los siguientes problemas: El programa SOA entrega resultados inconsistentes. Crecimiento caótico a nivel de infraestructura y servicios. Servicios con funcionabilidad redundante. Disponer de servicios que no se pueden reutilizar en la organización. Inconsistencia en la identificación, diseño y uso de los servicios. No se definen métricas para cuantificar el éxito. Ausencia de coordinación entre proyectos.
Descripción de las fases a seguir en el Servicio de Gobierno SOA En la figura 19 se ilustran las fases que se deberán seguir en la identificación e implementación del Servicio de Gobierno SOA.
109
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
Figura 19. Fases Gobierno SOA Fuente: (TCP, 2013)
Procesos de Gobierno SOA Los procesos de Gobierno SOA, son esenciales para definir las acciones a realizar en diferentes áreas estratégicas y tácticas de la organización. Algunos de los procesos más cruciales en el Gobierno de SOA son: Procesos para la gestión del portafolio de servicios, sirven para establecer e identificar el inventario de los servicios que se encuentran disponibles en la organización. Procesos del ciclo de vida de los servicios, establece la gestión en ciclo de vida de los servicios SOA, uno de los framework que apoyan dicho proceso es AUT SOA que se presentará en el siguiente apartado. Procesos de gestión del cambio, son realizados con el fin de establecer reglas, versionamiento, procedimientos y métodos que ayuden a un control en los servicios que se encuentran expuestos en la organización.
110
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
3.7 Framework AUT SOA 3.7.1 Definición El concepto de gobernabilidad en SOA se ha convertido en una forma de implementar mecanismos de control (T.G.J., M.E., & P.A.T., 2008). Con el fin de implementar con éxito SOA, las organizaciones deben poner un sistema de control interno o un marco (Hojaji & Mohammad, Developing a More Comprehensive and Expressive SOA Governance Framework, 2010). Por lo tanto, el framework AUT SOA se centra en la estrategia de negocio y los requerimientos, incluyendo estructuras de organización, procesos y procedimientos de SOA, mecanismos de control y métricas de rendimiento. El framework AUT SOA para la gobernabilidad de SOA, se ha creado con base a las experiencias de sus autores, el análisis de marcos existentes y la combinación de control y gobernabilidad de COBIT
(Hojaji &
Mohammad, 2010). Es así, como el framework AUT SOA contribuye a las necesidades de la gobernabilidad de SOA por medio de: La promoción de la alineación de TI y el negocio. La organización del gobierno en el ciclo de vida de los servicios, de acuerdo con el modelo de proceso general. Definiendo los objetivos para el control de gestión. Proporcionando una arquitectura de referencia para el uso y gestión de soluciones SOA. Propiciando métricas y modelos de madurez para medir el logro de los objetivos 111
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
definidos.
El ciclo de vida del servicio en el framework AUT SOA está basado en el ciclo de vida del servicio en el framework ITIL V3, IBM y OPEN Group (Office of Government Commerce, 2007), (Brown, Moore, & Tegan, 2006), (Open Group, 2009). Donde se han demostrado investigaciones que hay similitudes significativas entre SOA y el ciclo de vida del servicio ITIL (Sibley, 2009).
El framework de gobernabilidad AUT SOA, comienza a partir de los requerimientos de negocio como se presenta en la figura 20. El framework está orientado a organizar los procesos y actividades en SOA que sean pertinentes, dentro del ciclo de vida y la gobernabilidad de SOA. Es por esto que la gestión del ciclo de vida del servicio es el corazón del framework propuesto, asegurando la alineación de los servicios de TI con los requerimientos del negocio (Hojaji & Mohammad, AUT SOA Governance: A New SOA Governance Framework Based on COBIT, 2010).
112
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
Figura 20. Framework AUT SOA Fuente: (Hojaji & Mohammad, AUT SOA Governance: A New SOA Governance Framework Based on COBIT, 2010)
La gobernabilidad propuesta en el framework AUT SOA, sigue una serie de actividades por etapas y procesos para dar gestión y control al proceso del ciclo de vida de los servicios. Las fases de la gobernabilidad del ciclo de vida de los servicios debe ser visto como un circuito de mejora continua, mediante el cual se mide el progreso, el curso de las correcciones, la actualización del plan de gobierno de SOA y la hoja de ruta de la gobernabilidad cuando sea necesario (Hojaji & Mohammad, AUT SOA Governance: A New SOA Governance Framework Based on COBIT, 2010).
113
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
El framework AUT SOA, establece los siguientes componentes fundamentales para su correcto funcionamiento.
3.7.2 Proceso de dominio: El marco de gobernabilidad AUT SOA, tiene cuatro procesos de dominio y 10 procesos en línea con la gobernabilidad del ciclo de vida; y también cuatro dominios con 16 procesos relacionados con el diseño, transición y operación de los servicios. En la realización del framework AUT SOA, se establecieron dos tipos diferentes de conductores
que generan el impulso en el marco: Internos y Externos.
Dentro de los
conductores internos se tienen factores como: crecimiento de costos, bajo rendimiento, mal uso de los recursos y stakeholders insatisfechos; dentro de los conductores externos se reflejan factores como: mercado competitivo, demanda de los clientes, cambios tecnológicos y la estrategia empresarial.
Con el fin de controlar y evaluar los servicios, como también cumplir con los objetivos de negocio entregando valor a los clientes, en el framework AUT SOA, se definieron cinco grandes principios: funcionalidad, capacidad, desempeño, cumplimiento y seguridad. Estos criterios sirven de base para la definición de los requerimientos del negocio
y
el
desarrollo de los indicadores que permiten medir los objetivos definidos (Hojaji & Mohammad, AUT SOA Governance: A New SOA Governance Framework Based on COBIT, 2010).
114
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
En el framework AUT SOA se dividen dos categorías en el ciclo de vida de los servicios: producción de los servicios y el proceso de gestión de los servicios. El proceso de producción de los servicios se encuentra relacionado con la identificación, diseño, implementación, publicación, despliegue y soporte al servicio. Así mismo, en el proceso de gestión del servicio se relaciona la gestión de la disponibilidad del servicio, gestión del nivel de servicio y la gestión de la seguridad (Hojaji & Mohammad, AUT SOA Governance: A New SOA Governance Framework Based on COBIT, 2010).
Los dominios en la gobernabilidad del ciclo de vida de los servicios planteados por el framework AUT SOA son: Planificar, definir, implementar y medir como se presenta en la figura anterior (Figura 19). A continuación se detalla un poco más. En la fase de planeación para la gobernabilidad del ciclo de vida del servicio, se establece la visión y la estrategia del gobierno mediante la evaluación del estado y la madurez de gobierno de la organización en la actualidad. Este dominio abarca la planeación estratégica e identifica las necesidades y prioridades del negocio. La fase de Definición, se centra en la determinación de los órganos y cuerpos de gobernanza. Este dominio se centra en la definición del plan de transición para la gobernabilidad de SOA necesaria para alcanzar los objetivos definidos en la fase de planificación. La fase de implementación se centra en permitir y plasmar las soluciones de gobernabilidad e implementar los planes de transición incluyendo el despliegue de los 115
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
procesos, la organización y los aspectos tecnológicos de la gobernabilidad de SOA. La fase de medición aborda la gestión del desempeño, el monitoreo del control interno, el cumplimiento normativo y la gobernanza.
Las organizaciones revisan
periódicamente las métricas y objetivos estipulados, con el fin de realizar los cambios necesarios en las políticas de gobierno, estándares y procesos a través de la gobernabilidad del ciclo de vida.
En el ciclo de vida de los servicios, los procesos de dominio son: Estrategia de Servicio: Este dominio se centra en la planificación y priorización de las soluciones de SOA, además de identificar los cambios necesarios en los servicios existentes. Diseño de Servicio: Proporciona orientación sobre el diseño de los servicios de TI, junto con los procesos de gobierno y políticas. Este dominio se centra en la tecnología, las arquitecturas y los métodos de medición. Transición del Servicio: La transición del servicio, es una interface entre el diseño del servicio y las operaciones del servicio, que también son usadas en la mayoría de las actividades del día a día. Empieza cuando la entrada clave es recibida por parte del diseño del servicio, por ejemplo: una petición de cambio (ITpreneurs, 2008). Operación del Servicio: Abarca las actividades que rigen la calidad de los servicios prestados a los usuarios y la capacidad de monitorear e informar sobre los aspectos 116
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
operativos de los servicios. La operación del servicio también proporciona orientación sobre el logro de la eficacia y la eficiencia en la entrega y soporte del servicio.
3.7.3 Guía para la Gestión de Procesos: En el marco propuesto, un conjunto de directrices para los procesos, incluyendo la descripción de los procesos, objetivos claves de cada actividad, entradas genéricas de los procesos, productos, funciones y modelos de madurez se proporcionan para cada uno de los procesos. Por lo tanto, los mecanismos de control del framework de gobernanza AUT SOA, se centran en los procesos. Por consiguiente se ha definido más de 290 objetivos de control del marco general que especifica las obras relacionadas dentro de la instrucción, actividades y políticas para cada proceso (Hojaji & Mohammad, AUT SOA Governance: A New SOA Governance Framework Based on COBIT, 2010).
3.7.4 Modelo de Madurez: En la transición a SOA, las organizaciones necesitan evaluar dónde se encuentran en la ruta de migración a SOA y la manera de lograr mayores beneficios para apoyar los sistemas de la organización y de los negocios. Para lograr los beneficios de SOA asociados con niveles más altos de madurez, el marco de gobernanza AUT SOA, proporciona un modelo de madurez de adopción de SOA.
La adopción del modelo de
madurez de SOA, se basa en un grupo abierto Open Group Service Integration Maturity Model (Open Group, 2006) y proporciona seis dimensiones a través de cinco niveles de madurez. Las dimensiones son la organización, dirección, servicios y gestión de servicios, 117
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
arquitectura, infraestructura y la vista empresarial que están alineados con las especificaciones del marco (Hojaji & Mohammad, AUT SOA Governance: A New SOA Governance Framework Based on COBIT, 2010).
Cada dimensión se divide en varios dominios y cada dominio tiene un conjunto de posibles capacidades y características que señalan el nivel de madurez de ese dominio. Por otra parte, el modelo específico se utiliza para evaluación de la madurez de cada proceso. El modelo de madurez de los procesos en el marco AUT SOA ha sido desarrollado en base al modelo cualitativo genérico de COBIT, que especifica los principios de los atributos incluyendo la sensibilización,
comunicación,
políticas,
planes,
procedimientos,
herramientas,
automatización, habilidades, experiencias y el establecimiento de objetivos y la medición (ISACA, 2012). Estos atributos son características de la gestión de procesos y describen cómo evolucionan a partir de una inexistencia a un proceso optimizado (Hojaji & Mohammad, AUT SOA Governance: A New SOA Governance Framework Based on COBIT, 2010).
3.8 Resumen En este capítulo se realizó una revisión del estado de arte de diversos enfoques de la gobernabilidad para el espacio multidimensional propuesto por 2012).
(Tabares & Lochmuller,
Teniendo en cuenta este enfoque se realizó la revisión de diversos aspectos de
gobernabilidad que hacen pertinentes la generación de un nuevo modelo de gobernabilidad en la gestión por procesos del espacio multidimensional, entre los gobiernos analizados contamos 118
Capítulo 3 Estado del Arte Parte II Gobernanza en las Tecnologías de Información
con: Gobierno Empresarial, Gobierno de TI, Gobierno de COBIT 5, Gobierno en ITIL, Gobierno en TOGAF, Gobierno en SOA y el framework AUT SOA.
El análisis y el estudio de estos gobiernos brindaron herramientas necesarias y fundamentales para la creación de un modelo de gobernabilidad para la gestión por procesos, en estos se encuentran características esenciales que robustecen el modelo de gobernabilidad propuesto y lo hacen pertinente para su futura aplicación en el espacio multidimensional.
119
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos En este capítulo se presenta la propuesta del modelo de gobernabilidad basado en COBIT con el apoyo del framework AUT, para la gestión por procesos definida en un espacio multidimensional. Aquí se despliegan los componentes y las funciones que logran establecer una gobernabilidad adecuada para el control y manejo del espacio multidimensional que además consiguen integrar de manera acertada los diversos niveles y ejes en las organizaciones.
120
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
En los capítulos anteriores se presenta el estado de arte de algunos conceptos que se han tenido en cuenta para la gobernabilidad. Estos son analizados desde diferentes componentes en las organizaciones, en la cual no se han integrado para realizar la gestión por procesos desde el punto de vista de la arquitectura empresarial, nivel de madurez de la organización y nivel organizacional de las empresas. La tabla 12 presenta algunas propuestas de gobernabilidad para la gestión por procesos por algunos autores.
Tabla 12. Gobernabilidad en la Gestión por Procesos
Autor (Strnadl, 2006)
Descripción El autor presenta la gobernabilidad en las gestión por procesos a partir de la arquitectura empresarial, específicamente utilizando el framework TOGAF, dividiendo ésta en la capa de procesos, información, servicios y tecnología de integración.
(Spanyi, 2010)
El autor postula una gobernabilidad enfocada en los niveles organizacionales de las empresas, donde presenta elementos de gobierno a nivel operacional, táctico y estratégico para la toma de decisiones.
(Shari, 2009)
El autor presenta elementos de CMMI para la gestión por procesos enfocado en el desarrollo de software.
(Jeston & Nelis, 2014)
Los autores definen la gobernabilidad para la gestión por procesos desde la perspectiva de la arquitectura de negocio sin ahondar en el campo de las TI
(Ryan & Eng, 2009)
Definen la gobernabilidad desde el gobierno corporativo para la aplicación de los procesos en las organizaciones, teniendo presente la arquitectura empresarial de las organizaciones.
121
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
4.1. Definición de los componentes del modelo de gobernabilidad El modelo de gobernabilidad propuesto, para la gestión por procesos realizada en el espacio multidimensional (Tabares & Lochmuller, 2013), tiene como objetivo establecer la forma cómo la gobernanza propuesta por COBIT, AUT, y TOGAF debe aportar al control de las actividades y tareas que se deben realizar durante la gestión de procesos determinada por la función Gpi = f(NOg, MMn, AEa).
La figura 21 ilustra el modelo propuesto y la forma como se disponen los tres grandes componentes de gobernanza que soportarán la gestión de procesos en el espacio multidimensional. El framework COBIT 5 proporcionará los objetivos que se deberán tener en cuenta para la gestión por procesos de TI principalmente; el framework AUT SOA proveerá el ciclo de vida para la gestión de los servicios bajo SOA, y el framework TOGAF proveerá las características de la arquitectura empresarial en la fase G (Gobernanza). Así, diferentes elementos proporcionados por los componentes serán actividades generales que se deberán tener en cuenta durante la gestión de procesos en el Modelo del Espacio Multidimensional – MEM.
122
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
Figura 21. Componentes del modelo de gobernabilidad propuesto
Nota: Para efectos prácticos de la propuesta, se trabaja el modelo de gobernabilidad en el MEM con un modelo de madurez nivel 3 CMMI u otros que se asimilen a certificaciones de gestión por procesos como la ISO9000, ya que este es el nivel comúnmente más aplicado en la mayoría de las organizaciones en Colombia. Esto significa que la organización se caracteriza por tener “procesos definidos”. Los cuales contribuyen con productos de trabajo, medidas y otra información de mejora de los procesos y de los activos organizacionales (Carnegie Mellon Software Engineering Institute, 2010). 123
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
A continuación se define cada componente y la forma como se aplicará en el espacio multidimensional.
4.1.1 Desde COBIT 5 hacia el Modelo de Gobernabilidad en el MEM Desde el framework COBIT 5 se tienen en cuenta los objetivos y las características que son más relevantes para el desarrollo del modelo de gobernabilidad y además aquellos que apalancan de manera más directa este proceso. Los dominios que componen la estructura del framework COBIT 5 se vinculan con sus objetivos a la estructura del MEM para que cuando se haga la gestión de procesos en la organización se logre beneficios asociados al control, la evaluación, la alineación estratégica, la entrega de valor, la medida del desempeño, la administración de los recursos y de los riesgos.
La figura 22 ilustra de forma general cómo el framework COBIT 5 apoyará el análisis de gobernabilidad mostrando cómo cada uno de sus objetivos puede proveer elementos de apoyo y de aplicación efectiva y controlada en la gestión por procesos para el MEM.
124
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
Figura 22. Contexto de apoyo de COBIT 5 a la gobernabilidad del MEM
Cuando se realiza gestión de procesos en el MEM, se identifican los niveles de cada eje que deberán estar involucrados durante la gestión determinada por los requerimientos o cambios definidos por la arquitectura empresarial o directamente desde los procesos de la organización. Algunos criterios deben tenerse en cuenta para determinar qué fase y objetivos se deben tener en cuenta cuando se realiza la gestión por proceso: El tipo de cambio requerido Los procesos de negocio afectados El modelo de referencia de la organización de acuerdo a su sector económico. Tamaño de la organización, diferenciando entre empresas corporativas y pymes. Nivel de madurez de los procesos en la organización (identificar el nivel del eje del 125
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
modelo de madurez). La necesidad de las TI en el core del negocio. Grupos de objetivos asociados con el nivel de madurez y el nivel de gestión organizacional.
Esta propuesta define en las tablas 13, 14 y 15 la forma como los procesos del framework COBIT 5 y sus respectivos objetivos deben ser aplicados durante la integración de los ejes del MEM. Esta integración permite visualizar los diferentes objetivos a ser desarrollados en el MEM durante la gestión de procesos (Gpi) ejerciendo así la gobernanza desde la posibilidad de control de actividades.
En la tabla 13 se muestra que dominios de COBIT 5 y sus correspondientes objetivos deben ser desarrollados al integrarse el eje NO en su Nivel Estratégico con el eje de la AE con cada una de sus sub-arquitecturas (Arquitectura de la Tecnología, Arquitectura de Aplicaciones, Arquitectura de Información y Arquitectura de Negocios).
126
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
Tabla 13. Integración Nivel Organizacional Estratégico, Arquitectura Empresarial y COBIT 5
Sólo se realiza el análisis de algunos niveles de los ejes e intercepciones debido a que con el resultado de algunas intercepciones se facilita el análisis de las demás.
Nivel estratégico – Arquitectura Tecnológica – APO02.01 Comprender la dirección de la empresa. Por definición de COBIT, el APO02.01 considera el entorno actual y los procesos de negocio de la empresa, así como la estrategia y los objetivos futuros de la compañía. De esta forma las 127
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
estrategias que se determinen en el nivel estratégico de la organización, orientarán una serie de actividades en la compañía para enfrentar cambios y planes de desarrollo donde las tecnologías de información son determinantes para la organización3. Por ejemplo se tiene el siguiente caso en la empresa de telecomunicaciones en la cual se amplía el caso de estudio en el capítulo 5.
Estrategia: Incrementar las ventas del producto internet inalámbrico en un 1.5% para el año 2014 en el Valle de Aburrá. Arquitectura de tecnología actual: Se cuenta con sistemas de información que soportan la cantidad de clientes y servicios al 2013 pero el CIO (Chief information officer) de la compañía indica que para lograr la estrategia es necesario incrementar la capacidad tecnológica. Procesos afectados: La operación del producto internet inalámbrico, infraestructura tecnológica. Nivel de Madurez tres: La organización se caracteriza por tener “procesos definidos”. Los cuales contribuyen con productos de trabajo, medidas y otra información de mejora de los procesos y de los activos organizacionales (Carnegie Mellon Software Engineering Institute, 2010).
La gestión del proceso está determinada como se mostró en la página 74 por la siguiente 3
En la actualidad las TICs determinan la ejecución del 80% de las actividades en la compañía. (Gartner, 2009)
128
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
función Gpi = f(NOg, MMn, AEa), la cual para este ejemplo se determina de la siguiente forma f(Estratégico, CMMI nivel 3, Arquitectura de Tecnología), que al hacer la gestión del proceso se debe aplicar el APO02.01 y otros objetivos como se muestra en la tabla 13. Esto significa que se debe Comprender la dirección de la empresa debido a que la arquitectura de tecnología actual no estaría en capacidad de soportar la estrategia definida por la organización. De esta forma el área de TI de la compañía deberá identificar las brechas entre la arquitectura actual y la arquitectura deseada y así lograr la estrategia de la organización en el tiempo determinado.
En el caso de las tecnologías de la información es importantes generar además planes de actualización de los conocimientos de las personas en los diferentes niveles involucrados, lo cual genera un mayor aprovechamiento de los recursos y de las oportunidades. Además, es importante generar espacios para el conocimiento y la profundización en las tecnologías lo cual mantendrá el negocio actual y sus objetivos enfocados y en enlace con los avances.
Nivel estratégico – Arquitectura de Información – DSS06.06 Asegurar los activos de información. Por definición de COBIT 5, el DSS06.06 establece asegurar los activos de información accesibles por el negocio a través de los métodos aprobados, incluyendo la información en formato electrónico, información en formato físico e información en tránsito. La gestión por procesos en la organización también debe verse enfocada a lograr generar planes que 129
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
potencialicen la seguridad en el manejo de la información y el control de los datos, esto permite que los procesos no se vean interferidos por el manejo inoportuno e inapropiado de los datos.
La información debe llevar a lograr objetivos y para esto es necesario conservar los esquemas de control y seguridad que permiten el desarrollo posterior, en este punto es entonces importante el diseño de modelos que garanticen esto.
Por ejemplo se tiene el siguiente caso en la empresa de telecomunicaciones en la cual se amplía el caso de estudio en el capítulo 5:
Estrategia: Contar con sistemas que garanticen la seguridad de la información de los clientes que hacen compra del producto internet inalámbrico pospago por el portal web, con el fin de cumplir con la ley 1581 de 2012 o Hábes Data del ministerio de telecomunicaciones en Colombia. Arquitectura de información actual: Se cuenta con sistemas de información en la organización que permiten cumplir con la ley 1581 al interior de la empresa, pero los arquitectos de software señalan que se deberá realizar un seguimiento riguroso a la información del cliente pues será expuesta en el nuevo proceso desde la web, con lo cual es necesario aplicar procedimientos que garanticen la reserva de la información, para que la 130
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
entrega y soporte del proceso se realice constantemente de forma segura para los clientes. Procesos afectados: Infraestructura tecnológica, llaves criptográficas y certificados de seguridad.
La función dada en el espacio multidimensional realizado por (Tabares & Lochmuller, 2012), presenta lo siguiente: f(Estratégico, CMMI nivel 3, Arquitectura de Información) que al realizar la gestión por procesos se debe aplicar el DSS06.06 y otros objetivos, con el fin de permitir seguridad en la información que controla y manipula la organización dado que la arquitectura de información presente no cuenta con procedimientos de aseguramiento desde los portales web para datos de los clientes.
Nivel estratégico – Arquitectura de Negocio – APO02.05 Definir el plan estratégico y la hoja de ruta. Por definición de COBIT 5, el APO02.05 se debe crear un plan estratégico que defina, en coperación con las partes interesadas más relevantes, cómo los objetivos de TI contribuirán a los objetivos estratégicos de la empresa. La toma de decisiones en la gestión por procesos al interior de una organización debe estar acompañada de un entendimiento de las particularidades del negocio, es así como se debe establecer un modelo que permita asesorar a las directivas en el momento de realizar planeamientos estratégicos y gestionar esquemas que brinden posibilidades de conocimiento previo, en lo concerniente con la toma de decisiones en tecnologías de la información es aún más relevante ya que esto vinculará las expectativas del 131
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
negocio y las posibilidades tecnológicas potencializando los resultados en varios niveles.
Para un logro oportuno y eficaz en la generación de estrategias es pertinente generar comités que se encarguen de enlazar los objetivos de negocio y las posibilidades tecnológicas presentes en el medio.
Por ejemplo en el desarrollo de la experiencia que se realizó dentro de la empresa de telecomunicaciones donde se amplía en el capítulo 5: Estrategia: Vincular los elementos tecnológicos que tiene la empresa a la venta de internet inalámbrico desde el portal web para adquirir nuevos clientes. Arquitectura de Negocio actual: La unidad estratégica de negocio para hogares y personas en la empresa de telecomunicaciones por medio de un análisis hecho en el mercado, vieron la potencialidad de realizar ventas de sus productos por medio del portal web, dado que cada día se incrementa el número de personas que adquieren servicios por la internet. Procesos afectados: Venta, aprovisionamiento, automatización de consultas en centrales de riesgos.
Es por esto que en la función dada f(Estratégico, CMMI 3, Arquitectura de Negocio), es de vital importancia tener presente en la gestión de este nuevo proceso la alienación estratégica de la TI con el negocio para apoyar las metas. 132
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
Nivel estratégico – Arquitectura Tecnológica – BAI03.04 Obtener los componentes de la solución. COBIT 5 en su objetivo BAI03.04 define obtener los componentes de la solución sobre la base del plan de adquisiciones y conforme a los requerimientos y diseños detallados, principios de arquitectura y estándares. Las organizaciones deben posibilitar la implementación de los diversos avances presentes en el ámbito tecnológico, para lograr una adaptación del negocio con las posibilidades en la tecnología y que estas sean las más apropiadas es necesario la implementación de un plan que permita vigilar la implementación, puesta en marcha y seguimiento de estos vínculos de negocio y tecnología.
El plan debe poder establecer con anticipación aspectos tales como los costos, los riesgos y las ventajas presentes y como va a influir en el desarrollo de la organización tales vínculos. A su vez es importante vigilar que las tecnologías estén cumpliendo con los requerimientos establecidos.
Dentro del caso de estudio que se amplía en el capítulo 5: Estrategia: Adquirir en la organización nuevos firewall que posibiliten la venta y compra de internet inalámbrico pospago de manera segura. Arquitectura Tecnológica actual: Actualmente la organización cuenta con firewall que permiten bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones 133
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
autorizadas, pero por temas de capacidad se tiene la necesidad de comprar nuevos dispositivos que permitan limitar, cifrar, descifrar el tráfico entre los diferentes ámbitos sobre normas internacionales. Procesos afectados: Adquisición de nuevos firewall para la venta de internet inalámbrico desde el portal web, licitaciones para la compra.
Para el ejemplo que se presenta, la función dada en el MEM f(Estratégico, CMMI nivel 3, Arquitectura Tecnológica) para hacer la gestión de proceso se debe aplicar el objetivo BAI03.04 y otros objetivos que se muestran en la tabla 13. Esto significa que se debe realizar un plan de adquisición en nuevas infraestructuras ya que actualmente la organización no se encuentra en capacidad de soportar la oferta que requiere la unidad estratégica de negocio hogares y personas.
134
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
Tabla 14. Integración Nivel Organizacional Operativo, Arquitectura Empresarial y COBIT 5
La tabla 14 de igual manera representa la integración existente entre la etapa operativa del nivel organizacional con las ya mencionadas subarquitecturas de la arquitectura empresarial y cómo el resultante de este vínculo es puesto en conexión con las fases de implementación de COBIT 5.
Para ilustrar de manera más clara las intercepciones entre el nivel operativo y las subarquitecturas empresariales presentadas en la tabla 14, se desplegarán algunas de estas, exponiendo la validez y la importancia de COBIT en contraste con los demás ejes.
135
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
Nivel operativo – Arquitectura Tecnológica – APO03.05 Proveer los servicios de arquitectura empresarial Por definición de COBIT 5, el APO03.05 la provisión de los servicios de arquitectura empresarial incluye las guías y supervisión de los proyectos a implementar, la formalización de las maneras de trabajar mediante los contratos de arquitectura, la medición y comunicación de los valores aportados por la arquitectura y la supervisión del cumplimiento. Para lograr establecer una adecuada gestión por procesos en la operatividad desde los componentes de una arquitectura empresarial y teniendo como aliado el eje tecnológico se debe enfocar los esfuerzos en proporcionar adecuadas soluciones tecnológicas y establecer modelos que brinden esquemas en tecnología, logrando de tal manera controlar los objetivos y potencializar los resultados. Además es importante ejercer control para la implantación de soluciones tecnológicas que permita conocer los riesgos para el negocio.
Es de vital importancia establecer estándares tecnológicos que apalanquen la operatividad y brinden beneficios en la generación de reglas que deben cumplir los productos, procedimientos y los servicios. Dichos estándares ayudan a reducir las diferencias entre los productos, generando un ambiente de estabilidad, madurez y calidad en beneficio de los consumidores e inversores. Por ejemplo se tiene la siguiente experiencia en la empresa de telecomunicaciones en la cual se amplía el caso de estudio en el capítulo 5:
136
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
Operatividad: Establecer estándares para la generación de la documentación en los procesos de operatividad del servicio internet inalámbrico. Arquitectura Tecnológica actual: En la actualidad el coordinador de operación Internet Data Center (IDC) y ofimática indica que se llevan estándares para la documentación de los productos pero muchas veces los estándares se llevan diferente en cada proyecto. Procesos afectados: Gestión integral de la información.
La realización del proceso afectado dentro del MEM se determina por la función (Operativo, CMMI nivel 3, Arquitectura Tecnológica) que al realizar la gestión del proceso debe aplicar el objetivo APO03.05 y otros que se presentan en la tabla 14. Esto permite la cultura en el personal de operaciones de interiorizar estándares con el fin que sea más fácil la búsqueda de la documentación y siempre se tengan presente los aspectos esenciales en cada documento con el fin de evitar inconsistencias comunes.
Nivel operativo – Arquitectura de Aplicaciones – DSS05.01 Proteger contra software malicioso (malware) COBIT 5 en el objetivo DSS05.01 propone implementar y mantener efectivas medidas, preventivas, de detección y correctivas (específicamente parches de seguridad actualizados y control de virus) a lo largo de la empresa para proteger los sistemas de información y tecnología del software malicioso (por ejemplo, virus, gusanos, software espía spyware y 137
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
correos basura). La gestión por procesos en el ámbito de la operatividad de las aplicaciones debe realizar controles efectivos para garantizar la seguridad en ellas con las cuales se logre optimizar los procesos y que a su vez garantice que las diversas aplicaciones, bases de datos y demás información importante para el desarrollo operativo de la organización, se encuentre siempre disponible, fiable y organizada; además se deben establecer mecanismos que permitan ejercer monitoreo y control en los sistemas de información con el objetivo de verificar fallas que puedan afectar a los usuarios y el desarrollo continuo de la operatividad de las organizaciones.
Para el caso práctico expuesto en el capítulo 5: Operatividad: Control de seguridad en los sistemas de información que sean fiables y permitan monitorear la seguridad en la venta y compra del producto internet inalámbrico pospago por medio del portal web. Arquitectura de Aplicaciones actual: El CIO de la organización indica que los sistemas de información donde se realiza el aprovisionamiento e ingreso de los datos del cliente (CRM), en la actualidad no manejan encriptación de datos y sistemas de firewall ya que antes del nuevo proceso de negocio no se exponía información por medio de la web. Procesos afectados: Sistemas de información, recepción de información a través de la web.
La gestión de procesos por medio del MEM para esta intercepción presenta la función 138
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
(Operación, CMMI nivel 3, Arquitectura de aplicaciones) en la cual se debe tener presente el objetivo DSS05.01 y otros expuestos en la tabla 14, con el fin de garantizar la seguridad en los sistemas de información y controlar posibles fraudes de personas malintencionadas, en el cual se debe tener un constante monitoreo de la información de los clientes.
Nivel operativo – Arquitectura de Información – DSS05.02 Gestionar la seguridad de la red y las conexiones COBIT el objetivo DSS05.02, propone utilizar medidas de seguridad y procedimientos de gestión relacionadas para proteger la información en todos los modes de conexión.
El
intercambio de datos es uno de los elementos que garantiza la puesta en marcha y el desarrollo de las operaciones al interior de una organización, permite de igual manera mantener un acceso constante a la información y evita demoras en los proceso, es por este motivo que se debe verificar que este proceso se realice oportunamente y con la fiabilidad que se requiere. En esta medida se deben implementar controles que garanticen el envío y la recepción de los datos como a su vez la seguridad de estos, lo cual brindará seguridad a las operaciones.
Nivel operativo – Arquitectura de Negocio – MEA01.03 Recopilar y procesar los datos de cumplimiento y rendimiento COBIT 5 en el objetivo MEA01.03, establece recopilar y procesar datos oportunos y precisos de acuerdo con los enfoques del negocio. La gestión por procesos debe enfocar parte de su esfuerzo a la consecución de modelos y marcos de monitoreo, los cuales garantizan el 139
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
desarrollo continuo y efectivo de los procesos, además verificar la seguridad y eficacia de los servicios; todo esto optimiza de manera importante el desarrollo de la organización y se refleja en el usuario.
Es importante también que estos marcos se especialicen el las contribuciones que las tecnologías le hacen al negocio, además de permitir ver posibles fallas que se presenten en el proceso.
Tabla 15. Integración Nivel Organizacional Táctico, Arquitectura Empresarial y COBIT 5
Por último se presenta la integración del nivel organizacional táctico con las subarquitecturas empresariales y de igual manera el resultado se conecta a las fases de implementación COBIT 140
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
5. El resultado de este proceso muestra los objetivos que pueden apoyar la gestión por procesos en el MEM.
A continuación se presentará algunas intercepciones entre el nivel táctico en las organizaciones con las sub-arquitecturas de la arquitectura empresarial y los objetivos que brinda COBIT 5 para el apoyo en la gestión por procesos.
Nivel Táctico – Arquitectura de la Tecnología – APO01.01 Definir la estructura organizativa COBIT 5 en su objetivo APO01.01, establece una estructura organizativa interna y externa que refleje las necesidades del negocio y prioridades de TI. Implementar las estructuras de gestión requeridad (por ejemplo, comités) para permitir que la toma de decisiones se lleve a cabo de la forma más eficaz y eficiente posible. En la implementación de venta y compra de internet inalámbrico por medio del portal web es necesario establecer un concejo de arquitectura de tecnologías de la información, que cuente con las facultades necesarias y apropiadas para desarrollar estrategias que encaminen el negocio y sus objetivos y los vincule con las tecnologías existentes; además es importante generar directrices que realicen los seguimientos necesarios en los temas de tecnología y que a su vez no permita desvirtuar los objetivos y la aplicación de tecnologías sin dejar de lado los seguimientos respectivos a las propuestas y aplicaciones en uso. Se deben establecer medidas de control y ejecución que ayuden a cumplir 141
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
estos objetivos y que sean herramientas eficaces para la consecución de los objetivos. Para la experiencia expuesta en el capítulo 5:
Táctico: Proporcionar directrices tecnológicas para la implementación del nuevo proceso de negocio compra y venta de internet inalámbrico por el portal web de la organización. Arquitectura tecnológica actual: El consejo directivo indica que en la actualidad se tienen directrices para la aplicación en las diferentes plataformas tecnológicas que cuenta la organización, pero estas directrices deben de actualizarse pues no se contaba con sistemas en web que capturaran información de cliente para la venta de productos. Procesos afectados: Lista de chequeo en el comité de arquitectura tecnológica.
Para este proceso la función dada en el MEM es f(Táctico, CMMI nivel 3, Arquitectura de Tecnología) donde se debe cumplir con el objetivo APO01.01 y otros mencionados en la tabla 15 con el fin de que las tecnologías de la información brinden el apoyo necesario a los procesos que la organización requiere implementar para ver crecimientos en la venta de sus productos.
Nivel Táctico – Arquitectura de Aplicaciones – BAI03.10 Mantener soluciones El objetivo BAI03.10 de COBIT 5, establece desarrollar y ejecutar un plan para el mantenimiento de la solución y componentes de la infraestructura. 142
Incluir revisiones
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
periódicas respecto a las necesidades de negocio y requerimientos operacionales.
La
disponibilidad de las aplicación y el desarrollo de los objetivos depende en gran medida de generar estrategia y modelos que verifiquen el estado del software, realizar un mantenimiento oportuno aporta en gran medida a la velocidad de las transacciones y para esto la organización debe establecer mecanismos de evaluación y soporte que sean oportunos y constantes.
Nivel Táctico – Arquitectura de Información – DSS05.03 Gestionar la seguridad de los puestos de usuario final COBIT 5 en el objetivo DSS05.03, establece asegurar que los puestos de usuario final (es decir, portátil, equipo sobremesa, servidor y otros dispositivos y software móvil y de red) están asegurados a un nivel que es igual o mayor al definido en los requerimientos de seguridad de la información procesada, almacenada o transmitida.
La gestión por procesos en la
organización debe velar por el mantenimiento de las condiciones de los procesos y actividades, por este motivo es importante custodiar por la seguridad en herramientas como en la información y los datos, estos son vulnerables a muchos factores por este motivo es importante generar tácticas que garanticen la protección de datos y de esta manara generar llaves criptográficas que sean seguras, además de verificar constantemente la integridad de estas y los posibles riesgos presentes.
Para el logro de estos parámetros de control es importante tener en las organizaciones políticas de calidad y vigilancia de las llaves criptográficas que ayudan en el manejo de la información. 143
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
Nivel Táctico – Arquitectura de Negocio – MEA02.01 Supervisar el control interno COBIT 5 en su objetivo MEA02.01, define realizar de forma continua, la supervisión, los estudios comparativos y la mejora del entorno de control de TI y el marco de control para alcanzar los objetivos organizativos. En el desarrollo de las organizaciones es importante establecer una gestión por procesos y a su vez establecer también marcos de control y verificación de los procesos y las competencias lideradas por la organización, por este motivo es importante generar espacios de evaluación y control que permitan auditar los procesos, su pertinencia y la adecuada utilización de los recursos; la tecnología a su vez hace parte de los recursos de una organización y es necesario realizar auditorías que logren que la organización vigile y realice cambios oportunos para optimizar sus procesos.
4.1.2 Desde Framework AUT SOA hacia el Modelo de Gobernabilidad en el MEM Desde el framework AUT SOA se tendrá en cuenta para el modelo de gobernabilidad en el MEM sus cuatro procesos de dominio: planeación, definición, implementación y medición y sus 10 procesos en línea; esto con el fin de brindar mecanismos de control, procesos, procedimientos y métodos para una adecuada gestión por procesos que tenga cambios en el dominio de aplicaciones (TOGAF – Arquitectura de Aplicaciones), pues es allí donde el framework AUT SOA apalancará el adecuado manejo de los servicios que exponen y consumen los diferentes sistemas de información que ayudan a la gestión de los procesos.
144
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
La figura 23, ilustra lo anteriormente indicado, donde el framework de gobernabilidad AUT SOA ayuda al control del dominio de aplicaciones puesto que es esta arquitectura la que se encarga de la integración de las diferentes aplicaciones al interior de una organización, permitiendo el adecuado manejo de la información y la fluidez en esta, y es precisamente el framework AUT SOA quien le brinda un gobierno para el adecuado manejo de la integración de aplicaciones.
Figura 23. Contexto de apoyo Framework AUT SOA a la gobernabilidad del MEM
Con el apoyo que presentará el framework AUT SOA para la construcción del nuevo modelo de gobierno se logra identificar las estrategias que se deben tener presentes para la integración de las aplicaciones por medio de la gestión de servicios web, esto se logra por que el 145
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
framework enfoca sus esfuerzos y sus características en la implementación del ciclo de vida de los servicios, generando de tal manera un mejor control en la toma de decisiones,
la
consecución de objetivos y generando estabilidad en los servicios.
A continuación se presentarán los dominios con sus objetivos que ayudan a la gestión de los servicios web en el dominio de aplicaciones en el MEM:
Planeación Este dominio permite al modelo de gobernabilidad propuesto abarcar la planeación estratégica y también identifica las necesidades y prioridades del negocio.
PG1. Definir un plan estratégico en SOA: Desde el framework AUT SOA se tiene en cuenta para gestión por procesos en las organizaciones definir un plan estratégico en cooperación con los interesados relevantes, lo cual contribuirá de manera efectiva
a la
integración de todos los procesos. Así mismo SOA contribuirá a las metas del negocio como también al manejo de los costos y riesgos relacionados. Esto incluye como SOA dará soporte a los programas de inversión facilitados por TI y a la entrega de servicios operativos. En este proceso para la gobernabilidad del MEM se debe definir como se cumplirán y medirán los objetivos de la implementación de un servicio, teniendo en cuenta las fuentes de 146
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
financiamiento, la estrategia de obtención, de adquisición y los requerimientos legales y regulatorios.
En el modelo de gobernabilidad para el MEM el plan estratégico de SOA debe ser lo suficientemente detallado para permitir los planes tácticos de TI (que posiblemente ya fueron definidos en la aplicación de las fases/objetivos COBIT) y a su vez establecer marcos regulatorios que propicien el cumplimiento adecuado de los objetivos de manera que estos se integren al negocio y a los requerimientos de TI.
Por ejemplo se tiene el siguiente caso en la empresa de telecomunicaciones en la cual se amplía el caso de estudio en el capítulo 5.
Definir un plan estratégico en SOA: Permitir exponer servicio web seguro desde el CRM al portal web de la organización con el fin de realizar la compra y venta de internet inalámbrico pospago. Para esto se requiere un plan estratégico en el cual se pueda analizar si es viable reutilizar servicios web con los que cuenta la aplicación CRM.
Arquitectura de aplicaciones actual: El CIO (Chief Information officer) de la compañía indica que en la actualidad no existe un servicio expuesto en el CRM para la creación de 147
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
clientes y venta de productos. Es por esto que visualiza la necesidad de realizar un nuevo servicio y actualizar el portafolio de servicios expuestos con el fin que nuevos procesos de negocio en caso de necesitarlo lo utilicen sin tener que crear nuevos.
Procesos afectados: Inventario de servicios web, infraestructura tecnológica, seguridad informática.
Como se presentó en la página 74, la gestión por procesos está definida por la función
Gpi =
f (NOg, MMn, AEa), para este ejemplo se determina de la siguiente forma f(Estratégico, CMMI nivel 3, Arquitectura de Aplicaciones) que al hacer la gestión por procesos se debe aplicar un plan estratégico de SOA y los objetivos de COBIT como se muestra en la tabla 15. Esto significa que en la implementación de un nuevo proceso de negocio en la organización que implique la arquitectura de aplicaciones y se deban exponer servicios web se realice la implementación de un plan estratégico con el fin de permitir el control del inventario de los servicios web y apalancar los objetivos estratégicos de la organización.
PG2. Marco de trabajo para la administración financiera de SOA: En la gestión por procesos se debe establecer y mantener un marco de trabajo financiero para administrar las inversiones y costos de los activos y servicios que conlleva tener una arquitectura orientada a servicios (SOA), a través del portafolio de inversiones habilitadas por TI, casos de negocio y 148
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
presupuesto de TI.
Todo esto garantiza la estabilidad financiera necesaria para dar
cumplimiento con el respaldo a las propuestas de TI y permitir de tal manera que los objetivos de negocio se alienen de manera clara y directa con los requerimientos de TI.
La administración financiera se convierte en este caso en uno de los esquemas fundamentales para el desarrollo de la organización sin percances de último momento y evitando retrasos en el desarrollo de las metas de TI.
PG3. Comunicación de los objetivos y la dirección que debe contener SOA: La correcta gestión por procesos en el MEM deberá asegurarse que la conciencia, el entendimiento de los objetivos, la dirección del negocio y la TI se comunica a los diferentes interesados y a los usuarios de toda la organización.
Es importante establecer en este punto canales de comunicación efectiva que garanticen la adecuada fluidez de los objetivos y que permitan conocer los objetivos de negocio y de TI de tal forma que se logre alienar estos dos aspectos en un camino común; los usuarios logran de esta manera mantener un conocimiento constante y claro de las metas para establecer planes de ejecución que no desplacen ninguna área o deje por fuera las áreas interesadas.
149
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
Definición El dominio se centra en definir la transición del gobierno SOA y los planes necesarios para alcanzar los objetivos en la fase de planificación.
DG1. Definir planes de transición en SOA: La gestión por procesos en las organizaciones se debe definir de tal manera que logre establecer los marcos y modelos de trabajo para una adecuada transición, además de dar prioridades, especificar y acordar los planes de transiciones que conlleva una arquitectura orientada por servicios que cubran el alcance completo de todas las iniciativas requeridas para lograr los resultados esperados de los programas de inversión en TI.
Los planes de transición deben estar enfocados en la consecución de modelos que permitan una integración real y que vinculen de manera clara los objetivos de negocio y los requerimientos de SOA y con esto lograr un vínculo real y dinámico para las estructuras de la organización.
DG2. Definir Arquitectura de referencia en SOA: Para una adecuada gestión por proceso en el MEM se debe establecer y mantener un modelo de información empresarial para SOA que facilite el desarrollo de aplicaciones integrales y las actividades de soporte a la toma de 150
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
decisiones consistente con los planes de TI. El modelo debe facilitar la creación, uso y la posibilidad de compartir en forma óptima la información por parte del negocio de tal manera que se mantenga su integridad, flexibilidad, funcionabilidad, seguridad y que sea tolerante a fallos. La implementación de dicho modelo permite integrar de manera clara y óptima las aplicaciones y la consecución de la información esencial para esta integración, en este punto la información tiene un valor relevante dado que constituye el eje central del desarrollo de la organización.
Para el caso de estudio presentado en el capítulo 5: Táctico: Creación de nuevos servicios web para la integración entre el portal web y el CRM que brinden la unificación para soportar el nuevo proceso de negocio de venta y compra de internet inalámbrico pospago que cumpla con los lineamientos que tiene la organización.
Arquitectura de aplicaciones actual: En la actualidad la arquitectura de aplicaciones cuenta con lineamientos para la creación de nuevos servicios web, en los cuales se indican los estándares a tener en cuenta para que se mantenga su integridad, flexibilidad, funcionabilidad, seguridad y que sea tolerante a fallos.
Procesos afectados: Integridad entre sistemas de información. 151
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
Para esta intersección dada por la función del MEM f(Táctico, CMM nivel 3, Arquitectura de Aplicaciones) el modelo de gobernabilidad apoya la gestión por procesos para la compra y venta de internet inalámbrico brindando listas de chequeo con el fin que los nuevos servicios web que se creen en la organización sean seguros, fiables, flexibles y tolerantes a posibles fallos. Esto ayudará a la organización a cumplir los objetivos de negocio y permitir la satisfacción de los nuevos clientes.
DG3. Definir Procesos, Organización y Relaciones en SOA: En la gestión por procesos para el MEM, se debe definir un marco de trabajo para los procesos, organización y relaciones de SOA para ejecutar el plan estratégico de TI. El marco debe incluir estructura y relaciones de TI (administrando brechas y superposiciones de proceso), propiedad, medición de desempeño, mejoras, cumplimiento, metas de calidad y planes para alcanzarlas. El marco debe proporcionar integración entre los procesos que son específicamente de TI, administración del portafolio de la empresa, procesos de negocio y procesos de cambio de negocio. El Marco de trabajo de procesos de TI debe estar integrado en un sistema de administración de calidad y en un marco de trabajo de control interno. La administración de un marco que gestione los procesos posibilita el buen desempeño de estos, además establece guías para la interpretación de resultados y la adecuación a posibles fracturas en el desarrollo de la integración de objetivos de negocio, aplicación de TI y otras áreas, permitiendo de esta manera generar un flujo constante de resultados y objetivos.
152
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
Implementar Este proceso de dominio se refiere a la ejecución de los planes de transición realizados en la fase de definición.
IG1. Implementar planes de transición: En la adecuada gestión por procesos se deberá desarrollar planes de transición en SOA con base en el marco de trabajo, diseñado para reducir el impacto de una interrupción mayor de las funciones y los procesos claves del negocio. Los planes deben considerar requerimientos de resistencia, procesamiento alternativo y capacidad de recuperación de todos los servicios críticos de la arquitectura orientada a servicios. Estos planes deben cubrir lineamientos de uso, roles, responsabilidades, procedimientos, procesos de transiciones de los servicios y un enfoque de pruebas.
Además es necesario generar marcos de trabajo que permita una integración adecuada y solidad entre los objetivos de TI y las necesidades de negocio, esto es relevante una vez que una adecuada transición representa un mínimo impacto y una optimización de los recursos dispuestos. En función de esto es necesaria la implementación de una gestión por procesos acorde a las necesidades del negocio y a su vez de las tendencias en TI que representaran una mayor fluidez en la construcción de procesos.
153
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
IG2. Habilitar la Operación y Uso de los Servicios: Para garantizar un adecuado control de los servicios que apoyen la gestión por procesos se debe definir, implementar, mantener y habilitar procedimientos estándar para la operación de los servicios y garantizar que el personal de operaciones está familiarizado con todas las tareas de operaciones relativas a ellos. Estos servicios permiten a la gestión por procesos el seguimiento y la implementación de diversos marcos de trabajo para el adecuado desarrollo de los objetivo de ejecución e implementación del negocio frente a las variables y estándares de TI.
Los procedimientos de operación deben cubrir los procesos de entrega de turno (transferencia formal de la actividad, estatus, actualizaciones, problemas de operación, procedimientos de escalamiento y reportes sobre responsabilidades actuales) para garantizar la continuidad de las operaciones.
Para el caso de estudio que se amplía en el capítulo 5: Operativo: Cumplir con lineamientos para la transferencia formal de la actividad, estatus, actualizaciones, problemas de operación, procedimientos de escalamiento y reportes sobre responsabilidades actuales de los nuevos servicios web para la venta y compra de internet inalámbrico pospago por medio del portal web.
154
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
Arquitectura de aplicaciones actual: Los arquitectos de software de la organización indican que en la actualidad se tienen procedimientos para la operatividad de los servicios web pero aún no se tiene una unificación para llevar a cabo en todos los proyectos.
Procesos afectados: La operación del producto internet inalámbrico para garantizar la satisfacción de los clientes.
La función dada por el MEM para este proceso f(Operativo, CMMI nivel 3, Arquitectura de aplicaciones) se deberá cumplir con los procedimientos de escalamiento, operatividad, estado y estándares de seguimiento de los servicios web para cumplir con niveles de satisfacción de los clientes.
Monitorear Este proceso de dominio tiene en cuenta la gestión del rendimiento y la supervisión del control interno.
Objetivos de rendimiento y métricas para todos los procesos están definidos y
organizados periódicamente y se realizan los cambios necesarios en las políticas de gobierno, normas y procesos a través de iteraciones del ciclo de vida de la gobernanza de SOA.
MG1. Monitoreo y evaluación del rendimiento: Se debe establecer un marco de trabajo de 155
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
monitoreo general y un enfoque que definan el alcance, la metodología y el proceso a seguir para medir la solución y la entrega de servicios SOA y que estos a su vez permitan evaluar el rendimiento que tienen dichos servicios en la contribución que realiza TI al negocio. Además es relevante el diseño de sistemas que evalúen constantemente los procesos y el enfoque de la organización y como la aplicación de SOA crea un crecimiento y un apoyo contante a los requerimientos de TI en la organización.
En el caso de estudio del capítulo 5: Operativo: Evaluar y monitorear constantemente los servicios web para la venta y compra de internet inalámbrico, con el fin de garantizar el correcto funcionamiento y evitar posibles fraudes en la organización.
Arquitectura de aplicaciones actual: El CIO de la organización indica que en la actualidad se debe implementar estrategias para el monitoreo de los servicios web de manera más controlada, ya que los servicios que se tienen expuestos en la actualidad no son exhibidos a sistemas externos como el portal web.
Procesos afectados: Monitoreo y evaluación de los servicios web expuestos para la venta y compra de internet inalámbrico. 156
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
En la función dada en el MEM para este proceso: f(Operativo, CMMI nivel 3, Arquitectura de aplicaciones), en la operatividad de los servicios web se deberá cumplir con estándares de monitoreo y evaluación, esto con el fin de garantizar un correcto funcionamiento de las aplicaciones y brindar a los operadores herramientas para la gestión de fallas y detectar posibles fraudes que se estén dando en el producto.
MG2.
Administrar políticas de conformidad: Obtener, según sea necesario, el
aseguramiento adicional de la completitud y efectividad de los controles y políticas por medio de revisiones. Para lograr este objetivo se deben establecer políticas que permitan el trabajo integral y que los aspectos de las diversas fases se integren de manera directa, además es importante generar espacios para realizar las revisiones respectivas que faciliten la consecución de objetivos comunes de las diversas áreas de la organización en su integración a SOA.
4.1.3 Desde TOGAF – Fase G hacia el Modelo de Gobernabilidad en el MEM Desde el framework TOGAF se tienen en cuenta de su marco de referencia la gobernabilidad en el soporte de las operaciones en su fase G, con lo cual se busca dar control a los procedimientos que se deben tener presentes en las nuevas tomas de decisiones que quiera implementar las organizaciones por estrategia de negocio, con el fin que el producto final entregado a los usuarios sea de alta calidad. 157
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
El aporte que realiza el framework se ilustra en la figura 24, donde se presenta de manera ilustrativa que apoyará a la gestión de los procesos en la función Gp(Nivel de Madurez(Operativo), Modelo de Madurez (CMMI nivel 3) y cualquiera de las arquitecturas empresariales, especialmente el dominio de las tecnologías y aplicaciones).
Figura 24. Contexto de apoyo Framework TOGAF a la gobernabilidad del MEM
TOGAF brindará al modelo de gobernabilidad del MEM un enfoque operacional de la gobernanza de TI que proporcione un proceso para abordar el amplio panorama de la gobernanza de TI como se ilustra en la figura 25. El proceso de gobernanza en TI tiene su propio conjunto de artefactos y un ciclo de vida que se repite. El ciclo de vida del proceso de gobernanza incluye la captura de las necesidades de gestión de una organización y la creación, 158
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
implementación y evolución de una solución de gobierno que satisfa*ga las necesidades, mientras que en forma proactiva equilibra el valor y el riesgo.
Figura 25. Gobierno TI
La gobernanza en las operaciones del servicio es: El establecimiento de cadenas de responsabilidad, autoridad y comunicación (toma de decisiones). Establecimiento de medición, políticas, normas y mecanismos de control que permitan 159
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
a las personas llevar a cabo sus funciones y responsabilidades.
A continuación se detallará los procedimientos que se tendrán en cuenta para la gobernabilidad en el MEM.
Soporte a las Operaciones de Gestión del Servicio. Como se muestra en el capítulo 5 se deberá tener para la implementación del caso de estudio un marco para la puesta en marcha de la gestión del servicio. Es aquí donde se tendrán en cuenta los siguientes conceptos como se ilustran en la figura 26.
Figura 26. Puesta en Marcha de la Gestión del servicio y operaciones
Pre Aprovisionamiento del servicio: Los procesos Pre-Aprovisionamiento del Servicio son los que aseguran la disponibilidad del servicio cuando se realiza una solicitud de compra por 160
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
parte del usuario. Ellos se encargan de mantener y gestionar la disponibilidad de los recursos necesarios para la prestación de los servicios de manera adecuada, a fin de mantener una operatividad satisfactoria del servicio frente al usuario final o para gestionar nuevos ajustes a los servicios existentes.
Para el caso brindado en el capítulo 5: Operativo: Brindar el correcto pre aprovisionamiento de los elementos de red necesarios para la venta y compra de internet inalámbrico pospago.
Arquitectura tecnológica actual: Los arquitectos de tecnología de la organización, indican que en la actualidad en pre aprovisionamiento se realiza de manera manual para el producto de internet inalámbrico, lo cual para el nuevo proceso de negocio se debe involucrar la automatización del proceso cada vez que se realice una venta.
Procesos afectados: Pre aprovisionamiento de los elementos de red para el producto internet inalámbrico.
Para este proceso el MEM la función f(Operativo, CMMI nivel 3, arquitectura de tecnologías) deberá garantizar el control de pre aprovisionamiento del producto internet inalámbrico para 161
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
brindar la satisfacción de los nuevos clientes y evitar posibles reclamos en la adquisición del producto.
Gestión del inventario del servicio: Los procesos Gestión del Inventario del Servicio, que dan soporte a todos los procesos Gestión del Servicio y Operaciones y Gestión y Desarrollo del Servicio, se encargan de la administración del inventario del servicio de la organización, tal y como está incorporado en la Base de Datos del Inventario del Servicio. Estos procesos deben asegurar que la Base de Datos del Inventario del Servicio esté sincronizada con los servicios reales desplegados, pero también se encargan de asociarlos con los recursos del negocio, a través de la interacción con la Gestión del Inventario de Recursos.
Para el caso de estudio del capítulo 5: Operativo: Garantizar la disponibilidad del servicio internet inalámbrico y gestionar la compra de nuevos elementos de red cuando se esté agotando el inventario.
Arquitectura de tecnología actual: Se deberá implementar mecanismos de control de inventarios, ya que actualmente no se tiene un proceso que garantice la disponibilidad de manera automática. Para esto los operadores del servicio tendrán nuevos componentes para monitorear y comprar elementos de red. 162
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
Procesos afectados: Inventario, compra de routers. La función dada en el MEM f(Operativo, CMMI nivel 3, arquitectura de tecnología), debe garantizar que el producto internet inalámbrico cuente con inventario de router para poder realizar la venta del producto internet inalámbrico.
Gestión de la Calidad del Servicio: Los procesos Gestión de la Calidad del Servicio dan soporte al proceso de Análisis de la Calidad del Servicio, Intervención y Reporting a lo cual asegura que un servicio responda a las especificaciones propuestas por la organización para las metas del negocio. Gestión de la Calidad del Servicio se encarga de monitorear el rendimiento de los servicios a fin de conocer
su funcionamiento, el análisis de la causa raíz de los
problemas de rendimiento, el reportar esta información a otros procesos y emprender las acciones apropiadas para asegurarse que las clases de servicio están funcionando en forma eficiente.
Tarificación del servicio y gestión de la utilización: Los procesos Tarificación del Servicio y Gestión de la Utilización deben asegurar que la información relativa a precios y tarifas se mantenga para cada clase de servicio siempre disponible y actualizado, ya que dicha información será utilizada por el proceso Tarificación del Servicio y de Pedimentos Específicos.
También son responsables de procesar esta información relacionada con la
administración de servicios. 163
Capítulo 4 Modelo Gobernabilidad para la Gestión por Procesos
4.2 Resumen En este capítulo se realiza el planteamiento del modelo de gobernabilidad para la gestión por procesos basado en COBIT 5 para el espacio multidimensional propuesto por (Tabares & Lochmuller, 2012). El capítulo muestra las características y aspectos que componen este modelo y que brinda gran solidez en la implementación y puesta en marcha; además se presentan los componentes del modelo de gobernabilidad y como estos generan el engranaje necesario y su integración con los procesos de la organización.
En el presente capítulo se presentó de manera detalla la forma en que el modelo está compuesto y su interacción con la estructura de la organización.
164
Capítulo 5 Resultados del Modelo En este capítulo se presenta un caso de estudio de la propuesta del modelo de gobernabilidad basado en COBIT con el apoyo del framework AUT, y TOGAF en su fase G para la gestión por procesos definida en un espacio multidimensional. El caso de estudio se define desde una organización de telecomunicaciones en Colombia.
Específicamente toma uno de los
productos que lidera, e induce la gestión por procesos a partir de un cambio en la organización. De esta forma se define una instancia del modelo multidimensional donde una de las transacciones del producto por la ocurrencia de cambios en la organización genera el ambiente necesario para aplicar el modelo de gobernabilidad propuesto para la gestión por procesos definido en capítulo anterior.
165
Capítulo 5 Resultados del Modelo
5.1 Descripción entorno del Caso de Estudio Sector económico: Telecomunicaciones Contexto general de la empresa en estudio En el año 2005, la empresa de servicios públicos, después de observar el entorno, analizar las señales de los clientes y determinar las posibilidades del negocio, replanteó el mercado de servicios públicos domiciliarios y configuró tres grupos estratégicos de negocio entre ellos Telecomunicaciones. Cada uno muy diferente del otro, con dinámicas competitivas distintas y retos específicos.
Para cumplir entonces con la estrategia definida, el primero de julio de 2006 se crea una empresa a partir de la casa matriz y en la cual se genera una marca propia para el tema de telecomunicaciones, queda constituida como una empresa, conformada como una sociedad anónima por acciones, que presta servicios de tecnologías de información y comunicaciones a sus clientes en todo el país.
Hoy, la organización cuenta con un portafolio de servicios que incluye: Voz: Telefonía Fija: Citofonía Virtual, PBX, RDSI, Marcación Directa, Troncal Ordinaria;
166
Capítulo 5 Resultados del Modelo
Telefonía IP: VoIP, Conmutador Virtual, Voz Administrada Red Inteligente: Número Único, Telecontenidos, Teleconferencia, Larga Distancia Nacional e Internacional, Telefonía Pública, Telefonía Móvil, Tarjetas prepago. Conectividad: Lan to Lan, VPN, Portador, Multilan Internet: Banda Ancha: XDSL, WiMAX, Dedicado: Internet Empresarial, Conmutado. Servicios Profesionales: Mesa de Ayuda, Soluciones Integradas. Data Center: Alojamiento de Equipos, Hosting Dedicado, Web Hosting, Hosting de Base de Datos, Mail Hosting, Disco Duro Virtual.
Misión Proveer servicios de telecomunicaciones con la más alta calidad, más amplia cobertura y constante innovación para anticiparnos a las necesidades de comunicación de nuestros clientes; generar el mayor bienestar y desarrollo personal y profesional de nuestros trabajadores, proporcionar bienestar y desarrollo a la comunidad y exceder los objetivos financieros y de crecimiento de nuestros accionistas.
Visión Al 2015, la organización será la empresa integrada de telecomunicaciones más competitiva de 167
Capítulo 5 Resultados del Modelo
Colombia y emergentemente sirviendo la comunidad de la diáspora latinoamericana en USA y España; con ingresos por ventas equivalentes a US$ 1.500 millones, con una tasa de crecimiento interanual por encima de la industria y con un EBITDA creciente respecto al resultado del año anterior.
Estructura Organizacional En la figura 27, se presenta la estructura organizacional de la empresa de Telecomunicaciones.
Figura 27. Estructura Organizacional de la empresa de Telecomunicaciones
168
Capítulo 5 Resultados del Modelo
La figura 28 se ilustra el mapa de procesos que actualmente rigen la organización.
Figura 28. Mapa de procesos de la empresa de Telecomunicaciones
5.2 Información básica para el desarrollo del caso de estudio Alcance Para el desarrollo del caso de estudio que se realizará en la organización se tendrá en cuenta la creación de un nuevo proceso de compra y venta del producto Internet Inalámbrico Pospago desde el portal web que tiene la empresa.
169
Capítulo 5 Resultados del Modelo
Dentro del alcance de la puesta en práctica del caso de estudio se hará hincapié sólo en algunos elementos que presenta el nuevo modelo de gobernabilidad para la gestión por procesos en el espacio multidimensional dado que la amplitud de estos daría como resultado un trabajo muy extenso, por esto la presentación cuenta con sólo algunos elementos que exponen de manera clara el planteamiento del modelo de gobernabilidad.
Objetivos Los objetivos de la realización del caso de estudio son: Analizar, diseñar, implementar y puesta en marcha del nuevo proceso de negocio en la organización de telecomunicaciones. Implementar el nuevo proceso de negocio tomando como base el espacio multidimensional para la gestión por procesos y aplicando el nuevo modelo de gobernabilidad. Realizar análisis de cumplimiento de la implementación del proceso presentando efectividad y control en los procesos.
Descripción del nuevo proceso de negocio Se requiere la adición de un nuevo medio de venta y compra de su producto internet inalámbrico pospago para la unidad estratégica de negocios hogares y personas. 170
En la
Capítulo 5 Resultados del Modelo
empresa al día de hoy la compra del producto Internet Inalámbrico pospago se realiza por medio de ventas por cadenas de supermercados, puntos propios de la organización o por medio del call center donde existe intervención de empleados que se encargan del registro, la verificación del cliente en las centrales de riesgo, la disponibilidad en el inventario del servicio y la entrega de dicho producto; las figuras 29 y 30 ilustran los procesos que se lleva en la actualidad para la venta del internet inalámbrico pospago.
Proceso compra por cadenas de supermercado explicar cómo se realiza para cada proceso
171
Capítulo 5 Resultados del Modelo
Figura 29. Proceso compra y venta Internet Inalámbrico Pospago por puntos fijos y cadenas de supermercado
172
Capítulo 5 Resultados del Modelo
Figura 30. Proceso compra y venta Internet Inalámbrico Pospago por call center
Con esto la empresa pretende ahorrar costos en los recursos que asesoran a los clientes, tiempo en la transaccionalidad de venta y compra, ahorros en efectos de papelería, satisfacción en los clientes existentes donde no se repitan información que ya tiene la organización y que sus procesos internos sean automáticos sin requerir la intervención de sus asesores. El proceso de negocio que la empresa requiere implementar se ilustra en la figura 31, donde se presenta ahorro en costos, tiempo y en efectividad del ingreso de nuevos clientes.
173
Capítulo 5 Resultados del Modelo
Figura 31. Proceso compra y venta Internet Inalámbrico Pospago por portal web
5.3 Análisis del nuevo proceso de negocio desde cada Eje del Espacio Multidimensional En las siguientes sub-secciones se describe los elementos que van a regir la dinámica de uso de los ejes definidos en el modelo multidimensional. Esto permitirá identificar que niveles deben ser utilizados para la gestión por procesos en el espacio multidimensional, debido al impacto que causa el cambio propuesto.
Se pretende pues establecer las características más importantes que brinda el modelo de gobernabilidad en los aspectos más cruciales y fundamentales de la transacción que se analiza, comprobando de esta manera la viabilidad y eficacia del modelo de gobernabilidad.
174
Capítulo 5 Resultados del Modelo
Nivel de Arquitectura de Negocio Para la implementación del nuevo proceso de venta y compra del producto de Internet Inalámbrico Pospago es de vital importancia tener presente el dominio de Negocios, pues es allí de donde nace la idea de implementar un nuevo proceso de Negocio para la unidad estratégica de negocio Hogares y Personas que beneficie de manera directa la compra y venta del producto para los clientes y/o solicitantes, como también el ahorro en costos y tiempos en la realización de la compra del nuevo producto.
El dominio de negocio permite establecer los parámetros iniciales y le da forma a la idea de manera tal que se establecen las prioridades que se convierten posteriormente en los objetivos para el negocio; aspectos tales como características del producto, estándares de producción, índices y marcos para el control de la integración, son algunos de los aspectos a tener en cuenta y que son necesarios para la consecución integral del producto.
Nivel de Arquitectura de Aplicaciones En el nuevo proceso de negocio es importante tener en cuenta el dominio de Aplicaciones pues uno de los objetivos del proceso presenta la necesidad de implementar nuevos componentes en la integración de aplicaciones para que el proceso se realice de manera automática sin la necesidad de intervenir alguno de los asesores comerciales; logrando de esta manera generar mayor fiabilidad en el manejo de los datos y más versatilidad en el proceso. 175
Capítulo 5 Resultados del Modelo
Es por esto que se ve la necesidad de intervenir en dicho eje para que los arquitectos de software realicen un análisis pertinente que facilite la mejor manera de integración de los distintos componentes de software que intervienen en el nuevo proceso. Los componentes de software que se ven afectados por la ocurrencia de un nuevo proceso son presentados en la figura 31.
Nivel de Arquitectura de Tecnologías El nivel de tecnologías es otro de los ejes que se verán impactados en la implementación del nuevo proceso de negocio, ya que en esta se visualiza la necesidad de adquirir nuevas infraestructuras que apalanquen la compra y venta del producto Internet Inalámbrico Pospago.
De esta manera se logra optimizar los procesos de compra y venta del producto, para esto una adecuada implementación de tecnologías optimiza tiempos, resultados y permite controlar parámetros para una mejor respuesta al usuario.
Nivel Organizacional Operativo Para la generación del nuevo proceso de venta y compra del producto Internet Inalámbrico Pospago por medio del portal de la organización de telecomunicaciones, es necesario tener en cuenta el nivel organizacional operativo ya que se requiere la intervención de técnicos que 176
Capítulo 5 Resultados del Modelo
estén verificando el adecuado flujo del proceso, analizando y validando que los sistemas de información y las plataformas tecnológicas estén operando de manera eficiente 7 x 24, de esta manera se logra mantener un flujo constante de la información y un adecuado servicio.
Es importante establecer que la automatización del proceso también requiere su verificación constante y para estos es necesario generar procesos desde lo operativo que permitan el seguimiento y la planificación para evitar futuros fallos.
Nivel Organizacional Táctico El nivel táctico en la organización de telecomunicaciones se ve impactado puesto que se requiere definir planes de acción que impacten de manera directa los procesos operativos y de esta manera poner en marca un modelo de gobernabilidad que controle desde el diseño por medio de sus programas hasta la operatividad, logrando con esto un mayor control en los procesos que se requieren implementar en la organización.
5.4 Desarrollo del caso de estudio a través del modelo de gobernabilidad para las intercepciones presentadas en la gestión por procesos del MEM Para aplicar el modelo de gobernabilidad propuesto en el modelo multidimensional, se presentará por cada una de las intercepciones los controles, mediciones y conceptos que se 177
Capítulo 5 Resultados del Modelo
deben tener en cuenta para una óptima utilización que faciliten la gestión por procesos. La representación de la aplicación del modelo de gobernabilidad se realizará con pautas y ejemplos ilustrativos que ayuden a la gestión por procesos a las diferentes organizaciones.
El estudio de caso realizado se adecua a la organización de Telecomunicaciones pues ella se encuentra en un nivel de madurez tres que es sobre el cual se basa el modelo de gobernabilidad propuesto.
GP Operativo-Arquitectura de Aplicaciones y DSS05.01 Proteger contra software malicioso (malware) En la figura 32 se presenta la intercepción generada a partir del vínculo de tres ejes fundamentales para el desarrollo del proceso de venta y compra de Internet Inalámbrico en la organización. Para esto uno de los objetivos que se deberá tener en cuenta tomando el modelo de gobernabilidad propuesto es la seguridad y disponibilidad de las aplicaciones.
178
Capítulo 5 Resultados del Modelo
Figura 32. Intercepción Nivel Operativo, Nivel de Madurez 3 y Arquitectura de Aplicaciones
Como el nuevo proceso que requiere la organización es la implementación de venta y compra por medio del portal web se necesita tener presente aspectos tales como procedimientos, lineamientos, políticas, estándares y arquitecturas de seguridad. Para poder dar control a esta intercepción se propone un check-list que se presenta en el anexo B, el cual fue ejecutado para este caso de estudio.
También se debe indicar los aspectos requeridos para la operación y gestión permanente del Marco Normativo de Seguridad de la solución, en la cual se debe describir siempre que aplique los conceptos presentados en la tabla 16.
179
Capítulo 5 Resultados del Modelo
Tabla 16. Marco Normativo de Seguridad de la Solución
Marco Normativo de Seguridad de la solución Arquitectura de Seguridad y de conectividad. Gestión de Activos Aseguramiento de la red Lineamientos bases- Dispositivos de Red Control de Acceso y redes de gestión Aseguramiento de sistemas operativos, directorios y carpetas Aseguramiento de bases de datos e interfaces Aseguramiento de aplicaciones Funcionamiento de las interfaces Definir los procedimientos para la administración de las interfaces y Administración de acceso Autenticaciones y autorización Gestión de usuarios Definición y construcción de seguridad por tablas o campos Seguridad en desarrollos y protección de códigos fuentes Definición y pruebas del esquema de respaldo y recuperación Automatización de tareas, análisis de rendimiento, administración y monitoreo de eventos Definición y pruebas del esquema de operación para alta disponibilidad Definición del plan de contingencia Paso a producción + carga inicial de datos Definición y revisión de procesos Manejo de Incidentes de seguridad y definición del esquema de administración de seguridad.
GP Táctico - Arquitectura de Negocio y MEA02.01 Supervisar el control interno En la figura 33 se muestra la intercepción generada a partir del vínculo de tres ejes que son necesarios para el desarrollo del proceso de venta y compra de Internet Inalámbrico Pospago en la organización. Uno de los objetivos que se plantea en esta intercepción es la revisión de auditoría que permite generar marcos y propuestas para la verificación de los objetivos planteados, la revisión de auditoría se esgrime como un proceso fundamental que gestiona de 180
Capítulo 5 Resultados del Modelo
manera eficiente los objetivos permitiendo una adecuada verificación y seguimiento. Para el logro de este objetivo la organización implementó una lista de chequeo que permite la validez, control, verificación y medición sobre el seguimiento del proceso y sus lineamientos en los esquemas planteados. La lista de chequeo que se implementó para validar el modelo de gobernabilidad en el MEM se presentará en el anexo C.
Figura 33. Intercepción Nivel Táctico, Nivel de Madurez 3 y Arquitectura de Negocio
GP Táctico - Arquitectura de Información y DSS05.03 Gestionar la seguridad de los puestos de usuario final Para el nuevo proceso de compra y venta del internet inalámbrico en la organización se requiere tomar la intercepción Táctico – Arquitectura de Información y uno de los objetivos 181
Capítulo 5 Resultados del Modelo
mencionados en el capítulo anterior (Gestionar la seguridad de los puestos de usuario final) como se muestra en la figura 34, con lo cual se logra establecer un marco de trabajo que permita generar espacios estables y constantes de trabajo y además custodie en gran medida y de manera eficaz la información que respalda los procesos, de esta manera se asegura la consecución de objetivos y el flujo constante de información. Dado lo anterior se propone una lista de chequeo que permita dar verificación y medición a la gobernabilidad del espacio multidimensional; esta lista de chequeo se anexa en el apartado D.
Figura 34. Intercepción Nivel Táctico, Nivel de Madurez 3 y Arquitectura de Información
GP Táctico - Arquitectura de Aplicaciones y BAI03.10 Mantener soluciones El logro de los objetivos y metas en la organización depende en gran medida de la 182
Capítulo 5 Resultados del Modelo
disponibilidad de las aplicaciones y su correcto funcionamiento, es así como un adecuado mantenimiento de estas garantiza el flujo constante de los proceso y además asegura el correcto manejo de información. Además, para esto es necesario generar espacios para el soporte, brindado de tal forma un servicio adecuado a los usuarios.
El mantenimiento del software genera confianza y estabilidad en los procesos además de brindar las herramientas necesarias para el logro de metas y ayuda al logro de objetivos de manera óptima. Como se presenta en la figura 35 el nivel operativo se ve vinculado de manera clara con la arquitectura de aplicaciones para brindar un buen manejo del software y las aplicaciones que permiten el funcionamiento eficaz de los objetivos.
Figura 35. Intercepción Nivel Táctico, Nivel de Madurez 3 y Arquitectura de Aplicaciones
183
Capítulo 5 Resultados del Modelo
En la realización del caso de práctica se realizó un trabajo conjunto con el grupo de operaciones para poder cumplir con el objetivo, en este se hicieron diferentes lineamientos que permitirán dar control al mantenimiento y sostenimiento de la arquitectura de aplicaciones.
Por políticas de confidencialidad de la organización se presentará en este trabajo la estructura de documentación que se realizaron sin presentar la implementación de ellos pues se trata de información privada, para esto en la figura 36 se presenta la estructura de la documentación realizada y se indicará en cada uno de los documentos los tópicos que se tienen en cuenta, como también se llevó documentación del porcentaje del cumplimiento para tener control sobre la operación como se muestra en la tabla 17.
Figura 36. Documentación de Operaciones
184
Capítulo 5 Resultados del Modelo
Tabla 17. Avances documentación operacional
Documento
% de Avance
Manual de Instalación
0%
Manual de Administración y Operación
0%
Manual de Usuario Manual de soporte
0%
Manual de Interacción
0%
Inventario de máquinas y aplicaciones: maquinas
0%
Políticas de backup
0%
Lineamientos y consideraciones de Seguridad Plan de capacitación al equipo de soporte y operación
0%
Plan entrega el NOC
0%
0%
Manual de instalación: Contiene documentación respecto a la instalación de los diferentes componentes que se utilizarán para la realización del nuevo proceso de negocio, pues es necesario tener centralizada esta información para dar mantenimiento al software. Estos documentos indican las rutas, servidores, VLAN, ejecutables y configuraciones que se deberán tener en cuenta en cada uno de los ambientes que presenta la organización.
Manual Soporte: En esta carpeta se encuentra procedimientos, topologías, funcionamiento de 185
Capítulo 5 Resultados del Modelo
los servicios, lineamientos, flujos de gestión de fallas, mapa de operaciones y errores comunes para dar soporte a las plataformas tecnológicas que apalancarán el proceso de negocio.
Manual Usuario: Contiene documentación respecto a las transacciones soportadas para el nuevo proceso de negocio, como también como es la iteración que se tiene con cada uno de los posibles flujos. Esta documentación permite al grupo encargado de la operación de tener conocimiento de las transacciones y el manejo de la información por medio de las diferentes plataformas. También en esta carpeta se presentan procedimientos de la operación con el hacer del día a día.
Plan Capacitación Equipo Soporte y Operación: En este apartado se encuentran las diferentes capacitaciones que se realizan al equipo de operaciones con el fin que estos documentos sirvan para nuevos integrantes del equipo, en este se encuentran videos, tutoriales y ejercicios prácticos que servirán de autoestudio referente al soporte y operación del proceso de negocio venta y compra de internet inalámbrico pospago.
Inventario Máquinas y Aplicaciones: La carpeta contiene las diferentes aplicaciones y máquinas utilizadas en los diferentes ambientes de la organización (Pruebas, Desarrollo, Producción) que apalancan la gestión por procesos para la venta y compra del internet inalámbrico.
La documentación como muestra la tabla 18 presenta el nombre de los 186
Capítulo 5 Resultados del Modelo
servidores, función dentro del proceso, ip, vlan y mapa de los diferentes servidores como se integran.
Tabla 18. Inventario de servidores
SERVIDOR
DLLO FUNCIÓN
IP
VLAN
También se tiene la información del número del requerimiento con el cual se genera modificaciones sobre la arquitectura de los servidores.
Lineamientos y consideraciones de Seguridad: Se presenta los lineamientos de operatividad y seguridad que se llevan a cabo para la realización del nuevo proceso de negocio en cada uno de sus componentes; para esto se indican los certificados de seguridad, encriptación, llaves de seguridad, Firewalls, VLANS, sistemas operativos y módulos de descifrados.
Documentación Entrega a Operaciones: Esta carpeta contiene toda la documentación que entrega el área de desarrollo de aplicaciones al grupo de operaciones, dentro de los ítems más importantes que se realizaron para el proceso de negocio que se implementó son: Mapa de procesos en cada uno de los ambientes de los diferentes componentes que 187
Capítulo 5 Resultados del Modelo
apoyarán al nuevo proceso. Diseños lógicos y físicos de la arquitectura. Funcionamiento de cada servicio a través de los componentes. Topología general. Topología detallada. Acuerdos
de niveles
de servicios
clasificados
por
criticidad,
descripción,
identificación, solución y proactividad. Herramientas y rutinas de monitoreo. Matriz de escalamiento. Monitoreo de CPU, Memoria, Filesystem.
Políticas de Backup: Contiene todos los lineamientos que se deberán llevar a cabo en la realización del backup para los distintos componentes y bases de datos que apoyarán el nuevo proceso de negocio. Para el proyecto se indicó las rutas, periodicidad, tipo de backup, ventana de respaldo, horarios, notificaciones, recursos, componentes y tipos de datos a los cuales se deberá realizar respaldos de la información para no afectar a los usuarios finales.
188
Capítulo 5 Resultados del Modelo
Manual de Administración y Operación: En esta carpeta se presenta los mecanismos que permiten la administración y operación del nuevo proceso que apalancará la venta y compra de internet inalámbrico.
En este apartado se presentan las tareas para reinicio, monitoreo,
cambios de nodo, depuración de la información, reportes, ejecución de flujos transaccionales, instalación y configuraciones especiales tales como servidores de base de datos, sistemas operativos, aplicaciones, configuraciones de web services, puertos, manejo de logs, errores comunes, políticas de respaldo, mapas de operación, escalamientos y plantilla de operación para las actividades diarias, semanales y mensuales como se muestra en el anexo E.
Con el apoyo que presenta el framework AUT SOA al nuevo modelo de gobernabilidad se realizaron los lineamientos que se debe tener presente para la integración de las aplicaciones por medio de los servicios web, teniendo en cuenta que el framework enfoca sus esfuerzos y sus características en la implementación del ciclo de vida de los servicios, generando de tal manera un mejor control en la toma de decisiones y en la consecución de objetivos.
Para esto se presenta algunos lineamientos que se tuvieron en cuenta en el desarrollo del nuevo proceso de venta y compra de internet inalámbrico pospago que ayuda a una mejor operatividad y prestación de los servicios. Por restricciones de la organización se presenta en este documento los lineamientos más generales en la tabla 19 que no presentan información específica del negocio. 189
Capítulo 5 Resultados del Modelo
Tabla 19. Lineamientos de Arquitectura de Integración
Lineamientos de Arquitectura de Integración
Los conectores a las aplicaciones integradas por el bus de servicio deben implementarse a través de alguno de los siguientes mecanismos: o WCF, Web Services, HTTP/SOAP o FTP, FTPS o Sistema de archivos o Conectores a base de datos Oracle, SQL, MySQL - sólo aplica para aplicaciones que no tengan capacidades de exposición de servicios. O Conectores de mensajería a MSMQ o JMS o Conectores especializados para aplicaciones. Ej.: Siebel, SAP, entre otros Las aplicaciones deben poder ser agregadas o removidas del bus de integración sin que haya impacto sobre las otras aplicaciones existentes. Las aplicaciones deben estar desacopladas entre sí y a su vez, deben estar lo más desacopladas posible al bus de integración. Debe ser posible manejar múltiples solicitudes de procesamiento al tiempo. Se debe asegurar la integridad de los datos en el intercambio de mensajes entre las distintas aplicaciones El control de los flujos de trabajo (workflows) no está centralizado. Cada sistema mantiene sus Workflow y utilizan el integrador como mensajería para interactuar con otros sistemas. Cada aplicación tiene el control de sus flujos de negocio o servicios de aplicación y son los workflow de estas quienes inician los procesos de integración en el ESB. Las transacciones de larga duración serán administradas por el Workflow de las aplicaciones. La transaccionalidad de las operaciones compuestas de integración debe estar administrada por el ESB. Se evitará implementar lógica de negocio en el integrador. Esta se debe implementar en las aplicaciones y será expuesta mediante servicios de negocio. Para casos en que alguna de las aplicaciones no maneje su propio workflow, se usará el integrador para implementar la lógica de negocio requerida. La trazabilidad de la solución estará enfocada a la recepción, envío de los mensajes y culminación de lógica de integración de importancia. La trazabilidad de la lógica de negocio estará en cada aplicación
190
Capítulo 5 Resultados del Modelo
Se utilizará un modelo canónico en el integrador basado en el estándar SID. Los atributos de las entidades SID serán definidos por la aplicación dueña de la entidad. Este lineamiento debe ser garantizado por el proveedor que implementará el servicio. Por ejemplo los atributos requeridos para la entidad “Cliente” deben ser definidos por el CRM. Este lineamiento fue deprecado y está documentada la decisión en el capítulo de Exclusiones de Arquitectura de este documento. Las integraciones asincrónicas se implementarán a través de las capacidades del ESB En los escenarios de integración donde se requiera definir compensación, dicha operación se iniciará desde el bus de servicios ESB, a través de llamada a servicios de compensación propios de cada aplicación Se asumirá que los itinerarios internamente usarán orquestaciones para implementar su lógica (Llamado a Reglas, Transformaciones, llamado a web services, entro otros). Al usar la orquestación se habilita el uso de BAM y el manejo de Excepciones. Se hará uso de reglas de negocio/integración en todos los escenarios donde se detecte que es necesario tomar decisiones basándose en parámetros que pueden modificarse en el tiempo. Ejemplo: Resolución de la convivencia. Dependiendo de la ubicación geográfica debe enviarse un mensaje a la aplicación X o a la aplicación Y. En algún momento, cuando el negocio lo decida, se enviarán los mensajes solo a la aplicación Y, y con una modificación a la regla se ejecutará el cambio. Otras variables que pueden estar involucradas en las reglas son Producto u cualquier otro criterio definido por el negocio.
GP Táctico - Arquitectura Tecnologías y APO01.01 Definir la estructura organizativa Para optimizar el proceso de compra y venta de Internet inalámbrico pospago es necesario mantener y optimizar las tecnologías existente en la organización, por esto es de vital importancia generar un concejo de arquitectura de tecnologías que permita gestionar de manera eficiente los recursos en esta materia y que además permita la implementación de las nuevas tecnología existentes, de tal manera que estas se
integren eficientemente a los
requerimientos de la organización y a sus objetivos. Es de tal manera que la generación de un concejo permite encaminar los recursos a las metas del negocio.
191
Capítulo 5 Resultados del Modelo
Por esto que se encuentra la necesidad de integrar un nivel organizacional táctico, arquitectura de tecnologías y nivel de madurez 3 como se presenta en la figura 37.
Figura 37. Intercepción Nivel Táctico, Nivel de Madurez 3 y Arquitectura de Tecnologías
Para el cumplimiento del modelo de gobernabilidad propuesto en el caso de práctica, se tomó como base el comité de arquitectura de TI existente en la organización dando controles de las responsabilidades que debe tener para un correcto funcionamiento dentro del proceso. Para esto se realizó el trabajo con la ayuda del área de procesos de realizar la documentación pertinente y la lista de chequeo de las responsabilidades que debe seguir el comité de arquitectura de TI y se verificaron que fueran cumplidas a cabalidad con el nuevo proceso de negocio, la síntesis de las responsabilidades que debe cumplir y que fueron evaluadas durante el proceso a implementar son presentadas en la tabla 20. 192
Capítulo 5 Resultados del Modelo
Tabla 20. Responsabilidades comité de arquitectura TI
Responsabilidades
Cumple para el caso de práctica
Verificar el cumplimiento de las directrices asociadas a la Gestión de Seguridad de la Información y los procedimientos gestionar fraudes, gestionar seguridad y vigilancia y gestión del riesgo
SI
Verificar el cumplimiento de los planes de seguridad de la información, seguridad física, control fraudes y riesgos
SI
Tomar decisiones y recomendar acciones correctivas o preventivas necesarias, hacer seguimiento a su implementación y en caso de encontrar desviaciones con respecto a los niveles de tolerancia al riesgo y a los grados de exposición asumidos proponer las mejoras correspondientes Verificar que en los planes se incluyan programas para la creación de cultura en seguridad para empleados, clientes, proveedores y públicos objetivos determinados
SI
SI
Informar al Comité de Presidencia sobre el Sistema de Gestión de Seguridad de la Información y los procedimientos gestionar fraudes, gestionar seguridad y vigilancia y gestión del riesgo SI Informar a las diferentes áreas de la Empresa sobre los avances y acuerdos establecidos en los diferentes temas abordados en el Comité
SI
Realizar seguimiento a las acciones derivadas del Comité
SI
Revisar y proponer ajustes a las tablas de valoración corporativas
SI
Evaluar la suficiencia de capital de la empresa para enfrentar sus riesgos y alertar sobre las posibles insuficiencias
SI
Evaluar los riesgos potenciales que tengan una afectación directa sobre la continuidad del negocio
SI
Mantener informado al Presidente respecto a temas críticos relacionados con el Talento Humano y recomendar acciones en esta materia
SI
Hacer seguimiento y proponer acciones para el desarrollo de los proyectos que se estén abordando en el ámbito de la gestión humana de la Compañía SI Informar a las diferentes áreas de la Empresa sobre los acuerdos y decisiones tomadas por las instancias competentes en el ámbito de las personas SI
193
Capítulo 5 Resultados del Modelo
Definir y solicitar aprobación de políticas para la gestión de las personas Aplicar las políticas de gestión de personas definidas por la Organización, entre las cuales se encuentra estudiar solicitudes de las vicepresidencias, gerencias o direcciones (Staff) asociadas a la gestión de promoción de funcionarios, recategorización por cambios de funciones
N/A
N/A
Dar viabilidad a la tercerización de actividades previo análisis de los criterios de costos, estrategia, plan de negocio, presupuesto, oportunidad, legalidad, y los demás que deban ser evaluados
SI
Evaluar y tomar decisiones para cambios organizativos que impliquen la tercerización de actividades en el ámbito eficiencia y eficacia enfocándose en lo que la empresa hace mejor
SI
Solicitar información y otorgar lineamientos o directrices sobre procesos de contratación relacionados con la tercerización de actividades
SI
Definir estrategias de optimización sistemáticas que integren el uso de recursos de la compañía tanto internos como externos para la mejora continua alrededor de los costos y el outsourcing SI Definir metas y coordinar las iniciativas que conducirán a la obtención de dichas metas
SI
Definir y monitorear indicadores que permitan evaluar el comportamiento y los resultados de las estrategias de tercerización implementadas y la optimización de actividades operativas NA Evaluar y proponer el establecimiento de políticas y lineamientos como marco para la toma de decisiones relativas a la tercerización y la optimización de actividades operativas
SI
Promover benchmark y métricas alrededor de las prácticas de tercerización tanto en la industria como otros referentes
NA
Identificar y gestionar los riesgos de la estrategia de tercerización
SI
Analizar los principales hitos de comunicación para cada público objetivo con base en la evolución del negocio
SI
Revisar las acciones de comunicación previstas por cada Vicepresidencia o Gerencia con el fin de coordinar plazos, mensajes y evitar contingencias
SI
Aprobar las líneas generales de mensajes para cada grupo de interés
SI
Realizar evaluación inicial del incidente/crisis/contingencia y comunicar de acuerdo a la criticidad del evento al Comité de Presidencia
SI
Realizar seguimiento a la correcta implementación de las decisiones definidas, evaluadas y aprobadas por el Comité de presidencia SI
194
Capítulo 5 Resultados del Modelo
Coordinar la ejecución de los planes de continuidad Presentar informes sobre los avances de la situación a Comité de Presidencia
SI SI
Coordinar las actividades necesarios para el retorno a la normalidad
SI
Monitorear la implementación de los planes de continuidad
SI
Realizar seguimiento a la ejecución de las pruebas a planes de continuidad del negocio SI Realizar seguimiento a la implementación de las mejoras a planes de continuidad del negocio
SI
Generar acciones tendientes a proteger la rentabilidad de la infraestructura
SI
Establecer estrategias de comunicación internas y externas dirigidas a todos y cada uno de los empleados y contratistas con el propósito de defender a través de acciones simples, pero concretas todos aquellos bienes tangibles e intangible que hacen grande al Grupo y a la marca Establecer mecanismos para fortalecer los canales de denuncia y los protocolos que permitan comunicar las irregularidades sobre la infraestructura en el momento que estas sean observadas por cualquier persona o la comunidad en general Comunicar al comité de Presidencia los resultados obtenidos en la implementación de accione de protección de las infraestructuras
SI
SI SI
5.5 Resumen En este capítulo se realiza la presentación del caso de estudio de la propuesta de un modelo de gobernabilidad para la gestión por procesos en el espacio multidimensional presentado por (Tabares & Lochmuller, 2012) en una organización de telecomunicaciones, específicamente se realiza la gestión por proceso a la venta y compra de internet inalámbrico pospago por medio del portal web de la organización, en el presente se muestra la implementación y puesta en marcha del modelo y su interacción con los procesos de la organización y su producto. Se hace referencia a aspectos fundamentales del proceso y las ventajas del modelo de 195
Capítulo 5 Resultados del Modelo
gobernabilidad propuesto, además se plantean ejemplos que permiten conocer de manera directa la puesta en marcha del proceso con el modelo de gobernabilidad y las futuras evaluaciones
pertinentes.
196
Capítulo 6 Conclusiones y Trabajos Futuros Este capítulo centra su atención en hacer una revisión de los objetivos del presente trabajo, analiza el trabajo mismo, puesta en marcha y ejecución de los objetivos. Además argumenta acerca de los posibles trabajos futuros que el trabajo genera en el campo de investigación aplicada.
6.1 Resumen de los objetivos de la tesis El objetivo de esta tesis fue orientado a la creación y puesta en marcha de un modelo de gobernabilidad que permitiera dar control y evaluación a la gestión por procesos en el espacio multidimensional diseñado por (Tabares & Lochmuller, 2012). Además se logra establecer marcos de trabajo que posibilitan la consecución de objetivos y el desarrollo integral de la organización, teniendo en cuenta su integración con las TI y demás áreas que la involucran.
197
Capítulo 6 Conclusiones y Trabajos Futuros
Finalmente, se lograron establecer mecanismos de control y evaluación para la gestión por procesos que lograron los siguientes objetivos específicos. Identificar el modelo de gobernabilidad COBIT en SOA, definido desde el framework AUT, con el fin establecer los elementos base de un nuevo modelo. Identificar los elementos que compone un espacio multidimensional para la gestión por procesos en la organización. Definir los elementos de gobernabilidad que soporten la gestión por procesos en un espacio multidimensional de la organización en las vista de arquitectura empresarial, nivel de madurez 3 y nivel organizacional. Validar el modelo propuesto por medio de un estudio de caso.
6.2 Resultados de la Tesis El trabajo realizado en esta tesis contribuye directamente a la creación de un modelo de gobernabilidad basado en COBIT 5 para la gestión por procesos definida en un espacio multidimensional de
(Tabares & Lochmuller, 2012).
Específicamente la gobernabilidad
propuesta da control y evaluación a las intercepciones presentes dentro los tres ejes tomando como base el nivel de madurez tres.
Inicialmente en el capítulo 2 y 3 se realiza un estado del arte en el cual se analiza la literatura pertinente que apoya los conceptos bases de la gestión por procesos, el análisis de cada uno de 198
Capítulo 6 Conclusiones y Trabajos Futuros
los ejes generados a partir del modelo del espacio multidimensional y su vínculo con los objetivos de COBIT 5 y las diferentes fuentes que apoyan la gobernabilidad en los diversos ámbitos de la organización.
A partir de los conceptos analizados e identificados, en el capítulo 4 se crea el modelo de gobernabilidad que apoyará la gestión por procesos en el espacio multidimensional teniendo en cuenta los criterios expuestos en el capítulo 5, indicando algunas de las intercepciones que se puede presentar en la toma de decisiones que las organizaciones podrían tener y logrando con esto brindar marcos de control que permitan la consecución de objetivos al interior de la organización con el apoyo del modelo de gobernabilidad propuesto donde orienta las actividades genéricas que se deben realizar para hacer la gestión del proceso. Para lograr la realización del modelo de gobernabilidad se toman como referentes los objetivos de COBIT 5 y las intersecciones que genera en el espacio multidimensional, el ciclo de vida de los servicios propuesto en el framework AUT SOA que brindó pautas para la arquitectura de aplicaciones y TOGAF para dar control al eje de las arquitecturas empresariales con las diferentes intercepciones que se puedan dar en una gestión por procesos.
La realización del modelo de gobernabilidad propuesto, permitió realizar un caso de estudio en una organización de telecomunicaciones en Colombia el cual se presenta en el capítulo 5. El desarrollo de la experiencia se centra en la gestión por procesos para la integración y puesta en 199
Capítulo 6 Conclusiones y Trabajos Futuros
marcha de venta y compra de internet inalámbrico pospago por medio de un portal web en la organización. En el caso de estudio se realizaron las diferentes intercepciones en el nuevo proceso de la organización mostrando los controles que brinda el modelo de gobernabilidad propuesto.
La implementación del modelo de gobernabilidad realizado a partir de la experiencia en la organización de telecomunicación permitió lograr: Establecer un mejor control en la toma de decisiones para la consecución de objetivos propios de la organización. Integrar las diferentes áreas impactadas con el nuevo proceso de negocio. Brindar pautas a tener en cuenta por la ocurrencia de cambios durante la gestión de los procesos. Generar marcos de trabajo para los procesos, que permitan el adecuado flujo de estos, logrando de tal manera cumplir con los requerimientos de la organización y la consecución de los objetivos propios. Mejoramiento de la operatividad del nuevo proceso de negocio, brindando pautas, procesos y procedimientos para se ven reflejados en el servicio final del usuario. Generar listas de chequeo que apuntan y contribuyen en el desarrollo estable y consecuente de los procesos propios de la organización. 200
Capítulo 6 Conclusiones y Trabajos Futuros
Mayor control de seguridad de las aplicaciones que apoyan los procesos de negocio. Lineamientos y responsabilidades del comité de arquitectura de TI lo cual genera una mejor toma de decisiones para la integración de TI a la estructura de la organización. Procedimientos y procesos de integración de los diferentes componentes de software para asegurar los objetivos del proceso de negocio. Vincular de manera eficiente las diversas áreas de la organización en consecución de los nuevos procesos de negocio. Mejoramiento de la documentación en la gestión por procesos.
6.3 Trabajo Futuro El trabajo futuro se centra en las siguientes áreas de desarrollo de investigación aplicada: Inclusión en el modelo de gobernabilidad de los niveles de madurez cuatro y cinco. De tal forma que se convierta en un marco de gobernabilidad que soporte diferentes niveles de madurez en diversos tipos de organizaciones. Implementación del modelo de gobernabilidad en diversas áreas de la organización de telecomunicaciones y diversas gestiones por procesos. Aplicación del modelo de gobernabilidad a organizaciones que tengan enfoques diferentes a las telecomunicaciones. 201
Capítulo 6 Conclusiones y Trabajos Futuros
La aplicación del modelo de gobernabilidad en al menos dos empresas más. Esto requerirá tiempo de capacitación en la definición y uso del modelo así como la adopción de la cultura de la gestión por procesos aplicando la gobernabilidad.
202
Referencias [1] Agudelo, L. F., & Escobar, J. (2007). Gestión por procesos. 302. [2] Alan, H., Salvatore, M., Jinsoo, P., & Sudha, R. (2004). Design Science In Information Systems Research. Society for Information Management and The Management Information Systems Research Center Minneapolis, 75-105. [3] Arango Serna, M. D., Londoño Salazar, J. E., & Zapata Cortés, J. A. (2010). Arquitectura Empresarial - Una Visión General. Revista Ingenierías Universidad de Medellín, 101110. [4] Arango Serna, M. D., Londoño Salazar, J. E., & Zapata Costés, J. A. (2010). Arquitectura Orientada a Servicios en el contexto de la arquitectura empresarial. Medellín: Ingeniería Industrial; Universidad Nacional de Colombia. [5] Arsanjani, A., Ghosh, S., Allam, A., Abdollah, T., Ganapathy, S., & Holley, K. (2004). SOM A: A method for developing service-oriented solutions. Web Service Journal, 377-396. [6] Bernard Scott, A. (2005). An Introduction To Enterprise Architecture. Bloomington: Authorhouse. [7] BearingPoint. (2012). Business Process Management Survey 2012. Frankfurt: Management & Technology. [8] Bell, M. (2008). Service Oriented Modeling: Service Analysis, Design, and Architecture. New Jersey: John Wiley & Sons. 203
[9] Benavides, L. J. (2000). Gestión por procesos. http://www.calidadlatina.com/, 1-3. [10] Brown, W. A., Moore, G., & Tegan, W. (2006). SOA Governance - IBM's Approach. [11] CAF. (2005). Lineamientos para un código andino de gobierno corporativo. Obtenido de http://gc.caf.com/upload/pubs/Line ami entos%20para%20un%20Codigo%20Andino%20de%20GC.pdf [12] Carnegie Mellon Software Engineering Institute. (2010). CMMI for Development Version 1.3. U.S.: Carnegie Mellon University. [13] Caroll, P., Ridley, G., & Young, J. (2004). COBIT and its utilization: a framework from the literature. System Sciences, 233-240. [14] Carrillo, J. (14 de 07 de 2009). Definiendo el alcance del gobierno de TI. http://www.youtube.com/watch?v=xUL8IBalh9I. [15] Casadesus, M., & Giménez, G. (2000). The benefits of the implementation of the ISO 9000 standard: empirical research in 288 Spanish companies. The TQM Magazine, 432-441. [16] Chrissis, M. B., Konrad, M., & Shrum, S. (2003). CMMI: guidelines for process integration and product improvement. Addison-Wesley. [17] Clarke, M. (2010). IT Governance Design: An Application of Problem Oriented Engineering to Enterprise Architecture, TOGAF and SOA Development. http://computing.open.ac.uk. [18] CMMI. (2013). Software Engineering Institute Carnegie Mellon. Obtenido de http://www.sei.cmu.edu/cmmi/models/model-components-word.html [19] Craig, S. (2005). IT Governance Framework: Structures, Processes, And Communication. Forrester. [20] Cruz Ortega, D. A., & Correal Torres, D. E. (2011). Estrategia dirigida por modelo para el Gobierno SOA. Revista Avances en Sistemas e Informática, 81-95. [21] De la C., M., & Delgado, M. (2006). La gestión por procesos en las instituciones de información. Acimed, 14. [22] De La Villa, M., Ruiz, M., & Ramos, I. (2005). Modelos de Evaluación y Mejora de Procesos: Análisis Comparativo. [23] Erl, T. (2009). SOA Design Patterns. Boston: Prentice Hall. 204
[24] ETOM. (2012). Exploring synergies between TOGAF and FRAMEWORX. ETOM. [25] Evelina, E., Pia, G., Hook, D., Wurtemberg, M., & Rocha, W. (2010). Process improvement framework evaluation. Industrial Information and Control Systems, Royal Institute of Technology, 319- 326. [26] Fisher, D. M. (02 de 03 de 2013). The Business Process Maturity Model. A Practical Approach for Identifying Opportunities for Optimization. Obtenido de http://www.bptrends.com/resources [27] Gartner. (2009). Gartner. Obtenido de http://www.gartner.com/technology/home.jsp [28] Gasca, G. P. (2006). Análisis de Riesgos para el Desarrollo de Software Seguro. 1-2. [29] Gasca, G. P. (2010). Metodología de Gestión de Riesgos para la Adquisición de Software en Pequeños Entornos - MEGRIAD. Madrid. [30] Goeken, M., & Alter, S. (2009). Towards Conceptual Metamodeling of IT Governance Frameworks Approach - Use Benefits. Proceedings of the 42nd Hawaii International Conference on System Sciences - 2009 (págs. 1-10). Hawaii: IEEE. [31] Goldenson, D., & Gibson, D. (2003). Demonstrating the Impact and Benefits of CMMI: An Update and Preliminary Results. CMU/SEI-2003-SR-009. US: SEI. [32] Goldschmidt, T., Dittrich, A., & Malek, M. (2009). Quantifying Criticality of Dependability-Related IT Organization Processes in CobiT. 15th IEEE Pacific Rim International Symposium on Dependable Computing, 336-341. [33] Hammer, M., & Champy, J. (2003). Reengineering the Corporation: A Manifesto for Business Revolution. Harper. [34] Harmon, P. (2003). Business process change: A Manager's Guide to Improving, Redesigning, and Automating Processes. Morgan Kaufmann. [35] Hojaji, F., & Mohammad, A. S. (2010). AUT SOA Governance: A New SOA Governance Framework Based on COBIT. Computer Science and Information Technology (ICCSIT), 403 - 408. [36] Hojaji, F., & Mohammad, A. S. (2010). Developing a More Comprehensive and Expressive SOA Governance Framework. 2nd IEEE International Conference on Information Management and Engineering. [37] Hosseinbeig, S., Karimzadgan, M., & Vahdat, D. (2011). Combination of IT strategic alignment and IT governance to evaluate strategic alignment maturity. Application of 205
Information and Communication Technologies (AICT), 5th International Conference on, 1-10. [38] Huang, Z., Zavarsky, P., & Ruhl, R. (2009). An Efficient Framework for IT Controls of Bill 198 (Canada Sarbanes-Oxley) Compliance by Aligning COBIT 4.1, ITIL v3 and ISO/IEC 27002. Computational Science and Engineering, CSE '09. International Conference on, 386-391. [39] Hussain, S. J., & Sibghatullah, M. S. (2005). Quantified Model of COBIT for Corporate IT Governance. Information and Communication Technologies, 158 - 163. [40] ICONTEC. (2002). Norma Técnica Colombiana. NTC-ISO 9000. [41] Inova. (09 de 2013). Lo que no se mide no se puede gestionar. Obtenido de http://www.inovagestion.cl/web/ambito-de-accion/gestion-organizacional [42] Institute For Enterprise Architecture Developments. (2013). Institute For Enterprise Architecture Developments Your, Return On Information. Obtenido de http://www.enterprise-architecture.info/ [43] ISACA. (2008). IT Governance Institute. Obtenido de http://www.isaca.org/KnowledgeCenter/Research/Documents/Alineando-Cobit-4.1,-ITIL-v3-y-ISO-27002-enbeneficio-de-la-empresa-v2,7.pdf [44] ISACA. (2012). COBIT: A Business Framework for the Governance and Management of Enterprise IT. Rolling Meadows, IL 60008 USA: ISACA. [45] IT Governance Institute. (2007). COBIT 4.1. Rolling Meadows, EE.UU. [46] ITpreneurs. (2008). Curso de fundamentos de ITIL v3. Nederland. [47] Jaap, Schekkerman. (2006). Enterprise Architecture Good Practices Guide. En How to Manage the Enterprise Architecture Practice (pág. 386). Trafford: Publishing. [48] Jeston, J., & Nelis, J. (2014). Business Process Management Practical Guidelines to successful implementations. Amsterdam: Routledge. [49] Jonkers, H. (2006). Enterprise architecture: Management tool and blueprint for the organization. Information Systems Frontiers. [50] Josuttis, N. (2007). SOA in Practice. California: O’Reilly. [51] Kang, L. D., & Kim, K. (2011). Alignment of Business Enterprise Architectures using fact-based ontologies. Expert Systems with Applications, 3274-3283. 206
[52] Larman, C. (1997). Applying UML and Patterns - An Introduction to Object-Oriented Analysis and Design. New Jersy, USA: Prentice Hall. [53]
Lambarri, C. (s.f.). Informe Ejecutivo SOA. Obtenido de http://www.ssusucre.org/auditoriainterna/RESUMEN_EJECUTIVO_CGE_Auditoria_SOA.pdf
[54] López Pérez, C. (2010). Modelo de Madurez de la Capacidad del Software. Revista de Ingeniería Informática del CIIRM. [55]
Llopis, M. (2010). Mitos y realidades sobre SOA. Obtenido de http://geeks.ms/blogs/mllopis/archive/2008/06/09/mitos-y-realidades-sobre-soa.aspx
[56] Marks, E. A., & Bell, M. (2006). Service Oriented Architecture: A Planning and Implementation Guide for Business and Technology. British Library. [57] Mc Govern, J. (2003). A Practical Guide to Enterprise Architecture. Bloomington: Prentice Hall. [58] Meadows, I. (2003). Board Briefing on IT Governance. ITGI. [59] Miguel, M. C. (Diciembre de 2010). Revista electrónica Willay. Obtenido de http://revista.info.unlp.edu.ar/tesinas/tesis84.pdf [60] Muñoz, I., & Ulloa, G. (2011). Gobierno de TI – Estado del arte. Revista S&T, 23-53. [61] Mutafelija, B., & Stromberg, H. (2003). Systematic Process Improvement using ISO 9001:2000 and CMMI. Artech House Computing Library. [62] NATIONAL ASSOCIATION OF STATE CHIEF INFORMATION OFFICERS. (2013). Enterprise ArchitectureMaturity Model. NASCIO Enterprise Architecture Maturity Model, 1-20. [63] Naur, P., & Randell, B. (1969). Software Engineering: Report of a conference sponsored by the NATO Science Committee. Affairs Division, NATO, (págs. 7-11). Germany. [64] OCDE. (2004). Principios de Gobierno Corporativo. Madrid. [65] Office of Government Commerce. (Agosto de 2007). Official Introduction to ITIL Service Lifecycle. [66] OMG. (2008). OMG. Obtenido de http://www.omg.org/spec/BPMM/1.0/PDF [67] Open Group. (2006). OSIMM The Open Group Service Integration Maturity Model. [68] Open Group. (2009). SOA Governance framework, Technical Standard. 207
[69] Orantes, S. D., Gutiérrez, A. F., & López, M. (2009). Arquitecturas empresariales: Gestión de procesos de negocio vs Arquitecturas Orientadas a Servicios ¿Se relacionan? Re-Creaciones, 142-149. [70] Oxford University Press. (2004). The Definitive Record of the English. Oxford English Dictionary. [71] Perez, C. J. (27 de Marzo de 2009). Qué significa CMMI. Obtenido de http://asprotech.blogspot.com/2009/03/constelaciones-cmmi.html [72]
Posada, D. (2011). Arquitectura Empresarial para PYMES. Obtenido de aepyme.blogspot.com: http://aepyme.blogspot.com/2009/07/arquitectura-empresarialcomo-modelo.html
[73] Potgieter, B. C., Botha, J. H., & Lew, C. (2005). Evidence that use of the ITIL framework is effective. Proceedings of the 18th Annual Conference of the National Advisory Committee on Computing Qualifications, 160-167. [74] Pritchard, J., & Armistead, C. (1999). Business process management - lessons from European business. Business Process Management Journal, 10-32. [75] Quevedo, A. (2009). Implementación de una metodología de procesos para la mejora de TI en una empresa. Cesar. [76] Real Academia Española. (2005). Diccionario de la lengua española. Madrid. [77] Ridley, G., Young, J., & Carroll, P. (2004). COBIT and its Utilization: A framework from the literature. System Sciences, 2004. Proceedings of the 37th Annual Hawaii International Conference on (pág. Enero). Australia: IEEE. [78] Röglinger, M., & Pöppelbuss, J. B. (2012). Maturity Models in Business Process Management. Business Process Management Journal, 328 - 346. [79] Rosemann, M., & De Bruin, T. (2005). Towards a business process mangement maturity model. ECIS. [80] Ryan, K. L., Stephen, S. G., & Eng, W. L. (2009). Business process management (BPM) standards: a survey. Business Process Management Journal, 744 - 791. [81] Sahibudin, S., Sharifi, M., & Ayat, M. (2008). Combining ITIL, COBIT and ISO/IEC 27002 in Order to Design a Comprehensive IT Framework in Organizations. Second Asia International Conference on Modelling & Simulation, 749-753. [82] Schekkerman, J. (2006). How to Survive in the Jungle of Enterprise Architecture 208
Frameworks. En Creating or Choosing an Enterprise Architecture Framework (pág. 266). Quality trade paperback. [83] Sessions, R. (20 de 02 de 2008). A Comparison of the Top Four Enterprise. Obtenido de www.objectwatch.com [84] Shari, S. (2009). Understanding the effectiveness of capability maturity model integration by examining the knowledge management of software development. Total quality management & business excellence : an official journal of the European Society for Organisational Excellence., 509-521. [85] Sheard, S. (2001). Evolution of the Frameworks Quagmire. IEEE Computer Magazine, 96-98. [86] Sibley, J. (2009). SOA - ITIL Governance Synergy. Obtenido de www.ebizq.net [87] Smith, H., & Fingar, P. (2002). Business Process Management: The Third Wave. Tampa, FL: Meghan-Kiffer Press. [88] Sousa, P., & Alves, J. (2005). Enterprise Architecture Alignment Heuristics. Microsoft Architect Journal, http://msdn.microsoft.com/en-us/library/aa480042.aspx. [89] Spanyi, A. (2010). Business Process Management Governance: Handbook on Business Process Management. International Handbooks on Information Systems, 223-238. [90] Spewak, S., & Hill, S. (1992). Enterprise Architecture Planning: Developing a Blueprint for Data, Applications, and Technology. NY: Wiley-QED Publication. [91] Strnadl, C. F. (2006). Business Source Complete. Information Systems Management, 6777. [92] Swenson, K. D. (2010). Knowledge Work and Unpredictable Processes. En BPM an Workflow Handbook. Spotlight on Business Intelligence (págs. 33-42). Future Strategies. [93] Papazoglou, K., Kittl, B., Dustdar, S., & Levy, D. (2006). Shop Floor Information Management and SOA. Colección Lecture Notes on Computer, 237-248. [94] T.G.J., S., M.E., I., & P.A.T., v. E. (2008). A Lifecycle Approach to SOA Governance. Proceedings of the ACM Symposium on Applied Computing, 1055-1061. [95] Tabares, M. S., & Lochmuller, C. (2009). El Uso de las Tecnologías de Información y Telecomunicación en la Gestión por Procesos. Memorias Jornadas de Investigación EIA, 114-118. 209
[96] Tabares, M. S., & Lochmuller, C. (2013). Propuesta de un Espacio Multidimensional Para La Gestión Por Procesos. Un Espacio De Caso. Estudios Gerenciales ICESI. [97] Taylor, F. W. (1997). The Principles of Scientific Management. Dover. [98] Taylor, S., Lioyd, V., & Rudd, C. (2007). ITIL:ServiceDesign. Reino Unido: TSO publications. [99] TCP . (23 de 05 de 2013). http://www.tcpsi.com/vermas/gobierno_soa.htm. Obtenido de Dirige tu negocio: Controla tus procesos: http://www.tcpsi.com/vermas/gobierno_soa.htm [100]
The Open Group. (2013). http://www.opengroup.org/togaf/
The
Open
Group.
Obtenido
de
[101] Topçu, S., & Metin, B. (2011). Organizing COBIT control objectives for effective information technology compliance. Computational Intelligence and Informatics (CINTI), 2011 IEEE 12th International Symposium on, 461- 464. [102]Trkman, P. (2010). The critical success factors of business process management. International Journal of Information Management, 125–134. [103] United States Air Force Air Force Chief Architect Office (AF-CIO/A). (06 de Junio de 2013). Enterprise Architecture Framework (AF-EAF) Versión 2.0. Obtenido de https://herbb.hanscom.af.mil/tbbs/R844/AF_Enterprise_Architecture_Framework___J une_2003.pdf [104] Ussahawanitchakit, W., & Tansujah, P. (2003). Effectiveness of ISO 9000 Adoption, Export Marketing Strategy, and Performance: A Case Study of Thai and U.S. Firms. The Seventh International Conference on Global Business and Economic Development. US. [105] Valdés Castro, E. (2013). Cambio organizacional y evolución de los principios de gobernabilidad de las tecnologías de la información. Cali: Ingenium. [106] Van der Aalst, W. (2013). Business Process Management: A Comprehensive Survey. ISRN Software Engineering, 37. [107] Van der Aalst, W., Ter Hofstede, A., & Weske, M. (2003). Business Process Management: A Survey. Proceedings of the 1st International Conference on Business Process Management. [108] VAN GREMBERGEN, W. (2003). Introduction to the minitrack "IT governance and its mechanisms". En System Sciences (pág. 242). HICSS. 210
[109] Wang, Y., Court, I., M., R., Staples, G., King, G., & Dorling, A. (1999). Towards SoftwareProcess Excellence: A survey report on the best practices in the software industry. ASQ Journal of Software Quality Professional, (págs. 34-43). AU. [110] Weill, P., & Ross, J. W. (2004). IT Governance – How top performers Manage IT Decision Rights for Superior Results. Boston: Harvard Business School Press. [111] Wessels, E., & Loggerenberg, J. v. (2012). IT Governance: Theory and Practice. Information Systems Management, 98-109. [112] Wierenga, H. (25 de Abril de 2012). bptrends. Obtenido de Towards BPM 2.0: http://www.bptrends.com/publicationfiles/04-03-2012-ART-BPM%202%200Wierenga%20with%20Author%20%20info.pdf [113] Wolf, C., & Harmon, P. (2012). The State of Bussines Process Management. US: BPtrends. [114] Zachman, J. (1987). A Framework for Information Systems Architecture. The IBM Systems Journal (págs. 454-470). IBM. [115] Zaratiegui, J. R. (1999). La gestión por procesos: Su papel e importancia en la empresa. ECONOMÍA INDUSTRIAL, 81-88.
211
Anexo A Dominios, Procesos y Objetivos de COBIT 5
Dominios de COBIT
Procesos
Objetivos
EDM01 Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno
EDM02 Asegurar la Entrega de Beneficios
Evaluar, Orientar y Supervisar (Gobierno)
EDM03 Asegurar la Optimización del Riesgo
EDM04 Asegurar la Optimización de Recursos
EDM05 Asegurar la Transparencia hacia las Partes Interesadas
Alinear, Planificar y Organizar (Gestión)
APO01 Gestionar el Marco de Gestión de TI
EDM01.01 Evaluar el sistema de gobierno. EDM01.02 Orientar el sistema de gobierno. EDM01.03 Supervisar el sistema de gobierno. EDM02.01 Evaluar la optimización del valor. EDM02.02 Orientar la optimización del valor. EDM02.03 Supervisar la optimización del valor. EDM03.01 Evaluar la gestión de riesgos. EDM03.02 Orientar la gestión de riesgos. EDM03.03 Supervisar la gestión de riesgos. EDM04.01 Evaluar la gestión de recursos. EDM04.02 Orientar la gestión de recursos. EDM04.03 Supervisar la gestión de recursos. EDM05.01 Evaluar los requisitos de elaboración de informes de las partes interesadas. EDM05.02 Orientar la comunicación con las partes interesadas y la elaboración de informes. EDM05.03 Supervisar la comunicación con las partes interesadas. APO01.01 Definir la estructura organizativa. APO01.02 Establecer roles y responsabilidades. APO01.03 Mantener los elementos catalizadores del sistema de gestión. APO01.04 Comunicar los objetivos y la dirección de gestión. APO01.05 Optimizar la ubicación de la función de TI.
212
Anexo A Dominios, Procesos y Objetivos de COBIT 5
APO01.06 Definir la propiedad de la información (datos) y del sistema. APO01.07 Gestionar la mejora continua de los procesos. APO01.08 Mantener el cumplimiento con las políticas y procedimientos.
APO02 Gestionar la Estrategia
APO03 Gestionar la Arquitectura Empresarial
APO04 Gestionar la Innovación
APO05 Gestionar el Portafolio
213
APO02.01 Comprender la dirección de la empresa. APO02.02 Evaluar el entorno, capacidades y rendimiento actuales. APO02.03 Definir el objetivo de las capacidades de TI. APO02.04 Realizar un análisis de diferencias. APO02.05 Definir el plan estratégico y la hoja de ruta. APO02.06 Comunicar la estrategia y la dirección de TI. APO03.01 Desarrollar la visión de la arquitectura de empresa. APO03.02 Definir la arquitectura de referencia. APO03.03 Seleccionar las oportunidades y las soluciones. APO03.04 Definir la implantación de la arquitectura. APO03.05 Proveer los servicios de arquitectura empresarial. APO04.01 Crear un entorno favorable para la innovación. APO04.02 Mantener un entendimiento del entorno de la empresa. APO04.03 Supervisar y explorar el entorno tecnológico. APO04.04 Evaluar el potencial de las tecnologías emergentes y las ideas innovadoras. APO04.05 Recomendar iniciativas apropiadas adicionales. APO04.06 Supervisar la implementación y el uso de la innovación. APO05.01 Establecer la mezcla del objetivo de inversión. APO05.02 Determinar la disponibilidad y las fuentes de fondos.
Anexo A Dominios, Procesos y Objetivos de COBIT 5
APO05.03 Evaluar y seleccionar los programas a financiar. APO05.04 Supervisar, optimizar e informar sobre el rendimiento del portafolio de inversiones.
APO06 Gestionar el Presupuesto y los Costes
APO07 Gestionar los Recursos Humanos
APO05.05 Mantener los portafolios. APO05.06 Gestionar la consecución de beneficios. APO06.01 Gestionar las finanzas y la contabilidad. APO06.02 Priorizar la asignación de recursos. APO06.03 Crear y mantener presupuestos. APO06.04 Modelar y asignar costes. APO06.05 Gestionar costes. APO07.01 Mantener la dotación de personal suficiente y adecuada. APO07.02 Identificar personal clave de TI. APO07.03 Mantener las habilidades y competencias del personal. APO07.04 Evaluar el desempeño laboral de los empleados. APO07.05 Planificar y realizar un seguimiento del uso de recursos humanos de TI y del negocio. APO07.06 Gestionar el personal contratado. APO08.01 Entender las expectativas del negocio. APO08.02 Identificar oportunidades, riesgos y limitaciones de TI para mejorar el negocio.
AP008 Gestionar las relaciones
AP009 Gestionar los acuerdos de servicio
214
APO08.03 Gestionar las relaciones con el negocio. APO08.04 Coordinar y comunicar. APO08.05 Proveer datos de entrada para la mejora continua de los servicios. APO09.01 Identificar servicios TI.
Anexo A Dominios, Procesos y Objetivos de COBIT 5
APO09.02 Catalogar servicios basados en TI. APO09.03 Definir y preparar acuerdos de servicio. APO09.04 Supervisar e informar de los niveles de servicio. APO09.05 Revisar acuerdos de servicio y contratos. APO10.01 Identificar y evaluar las relaciones y contratos con proveedores. APO10 Gestionar los Proveedores
APO10.02 Seleccionar proveedores. APO10.03 Gestionar contratos y relaciones con proveedores. APO10.04 Gestionar el riesgo en el suministro. APO10.05 Supervisar el cumplimiento y el rendimiento del proveedor. APO11.01 Establecer un sistema de gestión de la calidad (SGC). APO11.02 Definir y gestionar los estándares, procesos y prácticas de calidad. APO11.03 Enfocar la gestión de la calidad en los clientes. APO11.04 Supervisar y hacer controles y revisiones de calidad. APO11.05 Integrar la gestión de la calidad en la implementación de soluciones y la entrega de servicios.
APO11 Gestionar la Calidad
APO11.06 Mantener una mejora continua APO12.01 Recopilar datos. APO12.02 Analizar el riesgo. APO12.03 Mantener un perfil de riesgo. APO12.04 Expresar el riesgo. APO12.05 Definir un portafolio de acciones para la gestión de riesgos.
APO12 Gestionar el Riesgo
APO12.06 Responder al riesgo.
215
Anexo A Dominios, Procesos y Objetivos de COBIT 5
APO13 Gestionar la Seguridad
APO13.01 Establecer y mantener un SGSI. APO13.02 Definir y gestionar un plan de tratamiento del riesgo de la seguridad de la información. APO13.03 Supervisar y revisar el SGSI. BAI01.01 Mantener un enfoque estándar para la gestión de programas y proyectos. BAI01.02 Iniciar un programa. BAI01.03 Gestionar el compromiso de las partes interesadas. BAI01.04 Desarrollar y mantener el plan de programa. BAI01.05 Lanzar y ejecutar el programa. BAI01.06 Supervisar, controlar e informar de los resultados del programa.
BAI01 Gestión de Programas y Proyectos Construir, Adquirir e Implementar (Gestión)
BAI01.07 Lanzar e iniciar proyectos dentro de un programa. BAI01.08 Planificar proyectos. BAI01.09 Gestionar la calidad de los programas y proyectos. BAI01.10 Gestionar el riesgo de los programas y proyectos. BAI01.11 Supervisar y controlar proyectos. BAI01.12 Gestionar los recursos y los paquetes de trabajo del proyecto. BAI01.13 Cerrar un proyecto o iteración. BAI01.14 Cerrar un programa. BAI02.01 Definir y mantener los requerimientos técnicos y funcionales de negocio.
BAI02 Gestionar la Definición de Requisitos
BAI02.02 Realizar un estudio de viabilidad y proponer soluciones alternativas. BAI02.03 Gestionar los riesgos de los requerimientos.
216
Anexo A Dominios, Procesos y Objetivos de COBIT 5
BAI02.04 Obtener la aprobación de los requerimientos y soluciones.
BAI03 Gestionar la Identificación y Construcción de Soluciones
BAI03.01 Diseñar soluciones de alto nivel. BAI03.02 Diseñar los componentes detallados de la solución BAI03.03 Desarrollar los componentes de la solución. BAI03.04 Obtener los componentes de la solución. BAI03.05 Construir soluciones. BAI03.06 Realizar controles de calidad. BAI03.07 Preparar pruebas de la solución. BAI03.08 Ejecutar pruebas de la solución. BAI03.09 Gestionar cambios a los requerimientos. BAI03.10 Mantener soluciones. BAI03.11 Definir los servicios TI y mantener el catálogo de servicios. BAI04.01 Evaluar la disponibilidad, rendimiento y capacidad actual y crear una línea de referencia.
BAI04 Gestionar la Disponibilidad y la Capacidad
BAI04.02 Evaluar el impacto en el negocio. BAI04.03 Planificar requisitos de servicio nuevos o modificados. BAI04.04 Supervisar y revisar la disponibilidad y la capacidad. BAI04.05 Investigar y abordar cuestiones de disponibilidad, rendimiento y capacidad.
BAI05 Gestionar la Facilitación del Cambio Organizativo
217
BAI05.01 Establecer el deseo de cambiar. BAI05.02 Formar un equipo de implementación efectivo. BAI05.03 Comunicar la visión deseada.
Anexo A Dominios, Procesos y Objetivos de COBIT 5
BAI05.04 Facultar a los que juegan algún papel e identificar ganancias en el corto plazo. BAI05.05 Facilitar la operación y el uso. BAI05.06 Integrar nuevos enfoques. BAI05.07 Mantener los cambios. BAI06.01 Evaluar, priorizar y autorizar peticiones de cambio. BAI06.02 Gestionar cambios de emergencia. BAI06.03 Hacer seguimiento e informar de cambios de estado. BAI06.04Cerrar y documentar los cambios. BAI07.01 Establecer un plan de implementación. BAI07.02 Planificar la conversión de procesos de negocio, sistemas y datos.
BAI06 Gestionar los Cambios
BAI07 Gestionar la Aceptación del Cambio y la Transición
BAI07.03 Planificar pruebas de aceptación. BAI07.04 Establecer un entorno de pruebas. BAI07.05 Ejecutar pruebas de aceptación. BAI07.06 Pasar a producción y gestionar los lanzamientos. BAI07.07 Proporcionar soporte en producción desde el primer momento. BAI07.08 Ejecutar una revisión postimplantación. BAI08.01 Cultivar y facilitar una cultura de intercambio de conocimientos.
BAI08 Gestionar el Conocimiento
BAI08.02 Identificar y clasificar las fuentes de información. BAI08.03 Organizar y contextualizar la información, transformándola en conocimiento. BAI08.04 Utilizar y compartir el conocimiento. BAI08.05 Evaluar y retirar la información.
218
Anexo A Dominios, Procesos y Objetivos de COBIT 5
BAI09.01 Identificar y registrar activos actuales. BAI09.02 Gestionar activos críticos. BAI09.03 Gestionar el ciclo de vida de los activos. BAI09.04 Optimizar el coste de los activos. BAI09.05 Administrar licencias. BAI10.01 Establecer y mantener un modelo de configuración. BAI10.02 Establecer y mantener un repositorio de configuración y una base de referencia.
BAI09 Gestionar los Activos
BAI10 Gestionar la Configuración
DSS01 Gestionar Operaciones
Entregar, dar Servicio y Soporte (Gestión)
BAI10.03 Mantener y controlar los elementos de configuración. BAI10.04 Generar informes de estado y configuración. BAI10.05 Verificar y revisar la integridad del repositorio de configuración. DSS01.01 Ejecutar procedimientos operativos. DSS01.02 Gestionar servicios externalizados de TI. DSS01.03 Supervisar la infraestructura de TI. DSS01.04 Gestionar el entorno. DSS01.05 Gestionar las instalaciones. DSS02.01 Definir esquemas de clasificación de incidentes y peticiones de servicio. DSS02.02 Registrar, clasificar y priorizar peticiones e incidentes.
DSS02 Gestionar Peticiones e Incidentes de Servicio
DSS03 Gestionar Problemas
219
DSS02.03 Verificar, aprobar y resolver peticiones de servicio. DSS02.04 Investigar, diagnosticar y localizar incidentes. DSS02.05 Resolver y recuperarse de incidentes. DSS02.06 Cerrar peticiones de servicio e incidentes. DSS02.07 Seguir el estado y emitir informes. DSS03.01 Identificar y clasificar problemas.
Anexo A Dominios, Procesos y Objetivos de COBIT 5
DSS03.02 Investigar y diagnosticar problemas. DSS03.03 Levantar errores conocidos. DSS03.04 Resolver y cerrar problemas. DSS03.05 Realizar una gestión de problemas proactiva. DSS04.01 Definir la política de continuidad del negocio, objetivos y alcance. DSS04.02 Mantener una estrategia de continuidad. DSS04.03 Desarrollar e implementar una respuesta a la continuidad del negocio. DSS04 Gestionar la Continuidad
DSS05 Gestionar Servicios de Seguridad
DSS04.04 Ejercitar, probar y revisar el plan de continuidad. DSS04.05 Revisar, mantener y mejorar el plan de continuidad. DSS04.06 Proporcionar formación en el plan de continuidad. DSS04.07 Gestionar acuerdos derespaldo. DSS04.08 Ejecutar revisiones postreanudación. DSS05.01 Proteger contra software malicioso (malware). DSS05.02 Gestionar la seguridad de la red y las conexiones. DSS05.03 Gestionar la seguridad de los puestos de usuario final. DSS05.04 Gestionar la identidad del usuario y el acceso lógico. DSS05.05 Gestionar el acceso físico a los activos de TI. DSS05.06 Gestionar documentos sensibles y dispositivos de salida. DSS05.07 Supervisar la infraestructura para detectar eventos relacionados con la seguridad.
DSS06 Gestionar Controles de Proceso de Negocio
DSS06.01 Alinear las actividades de control embebidas en los procesos de negocio con los objetivos corporativos. DSS06.02 Controlar el procesamiento de la información.
220
Anexo A Dominios, Procesos y Objetivos de COBIT 5
DSS06.03 Gestionar roles, responsabilidades, privilegios de acceso y niveles de autorización. DSS06.04 Gestionar errores y excepciones. DSS06.05 Asegurar la trazabilidad de los eventos y responsabilidades de información. DSS06.06 Asegurar los activos de información. MEA01.01 Establecer un enfoque de la supervisión. MEA01.02 Establecer los objetivos de cumplimiento y rendimiento. MEA01 Supervisar, Evaluar y Valorar el Rendimiento y la Conformidad
MEA01.03 Recopilar y procesar los datos de cumplimiento y rendimiento. MEA01.04 Analizar e informar sobre el rendimiento. MEA01.05 Asegurar la implantación de medidas correctivas. MEA02.01 Supervisar el control interno. MEA02.02 Revisar la efectividad de los controles sobre los procesos de negocio.
Supervisar, Evaluar y Valorar (Gestión) MEA02 Supervisar, Evaluar y Valorar el Sistema de Control Interno
MEA03 Supervisar, Evaluar y Valorar la Conformidad con los Requerimientos Externos.
221
MEA02.03 Realizar autoevaluaciones de control. MEA02.04 Identificar y comunicar las deficiencias de control. MEA02.05 Garantizar que los proveedores de aseguramiento son independientes y están cualificados. MEA02.06 Planificar iniciativas de aseguramiento. MEA02.07 Estudiar las iniciativas de aseguramiento. MEA02.08 Ejecutar las iniciativas de aseguramiento. MEA03.01 Identificar requisitos externos de cumplimiento. MEA03.02 Optimizar la respuesta a requisitos externos. MEA03.03 Confirmar el cumplimiento de requisitos externos.
Anexo A Dominios, Procesos y Objetivos de COBIT 5
MEA03.04 Obtener garantía de cumplimiento de requisitos externos.
222
Anexo B Lista de Chequeo de Seguridad en TI
Control de Versiones Versión Fecha Versión Marzo 02 de 2013 1.0
Actualizado por Carlos Mario Carmona
Observación Versión inicial
NOTA: La revisión del documento se deberá actualizar mínimo cada año, pues los procesos y nuevas tendencias tecnológicas implican cambio en los estándares y check-list para los nuevos desarrollos.
1
1.1
Seguridad en las aplicaciones
Aplica
¿Se puede configurar seguridad por módulos/perfiles/roles?
Observaciones Se tendrá en cuenta en los desarrollos realizados una nueva cuenta técnica en cada uno de los módulos para poder ejercer control en la compra y venta de internet inalámbrico por medio del portal web.
SI ¿Se puede consigurar roles de manera que se pueda obtener una debida segregación de 1.2 funciones (no ser juez y parte dentro de un proceso)? SI
Se crearán diferentes roles para que los funcionales, operativos y administradores de los módulos para puedan monitorear y tomar decisiones por alguna eventualidad.
223
Anexo B Lista de Chequeo de Seguridad en TI 1.3
¿Se conecta con un usuario único?
No aplica pues el cliente no tendrá que tener información en la organización para la compra del producto
N/A
1.4 ¿Se guardan los registros de las diferentes acciones que un usuario ejecuta dentro de la aplicación y se puede parametrizar las actividades a registrar? SI 1.5 ¿Se guardan a nivel de la aplicación las novedades realizadas sobre los datos (sede, teléfono, etc), así como lista de transacciones a ser registradas? SI 1.6 ¿Se tiene la Información del usuario para su identificación completa? No 1.7 ¿Se tiene Limitación en el número de sesiones a las que se pueda conectar simultáneamente un usuario? No 1.8 ¿Se guarda fecha de creación de la cuenta de usuario? No 1.9 ¿Identificación de quien realizó las últimas modificaciones a la cuenta de usuario y quién la hizo? SI 1.10 ¿Fecha de los últimos accesos realizado a la aplicación de la cuenta de usuario? SI 1.11 Identificación de la estación o IP desde la cual se realizó la última modificación a la cuenta de usuario. SI 1.12 ¿Identificación de la estación desde la cual se realizó el último ingreso de un usuario? No
Cada uno de los módulos llevará registros del nuevo proceso, indicando la fecha y hora que se realiza las transacciones.
El CRM guardará todos los datos de cliente (nombre, identificación, dirección de servicio y facturación, plan de facturación etc.) Las verificaciones del usuario se realizarán contra el proceso de centrales de riesgos y la compra se realizará efectiva si el PSE retorna transacción correcta Un usuario puede realizar la compra del producto las veces que requiera, por proceso de negocio el cliente puede obtener n servicios El módulo CRM y portal guardarán la fecha de creación del producto. El modelo de base de datos del CRM guardará las fechas y actualizaciones realizadas por el usuario. La base de datos se guardará las fechas por medio del cual se realizaron transacciones con la cuenta técnica. El CRM y el portal web guardarán la ip donde cliente realiza la compra del producto Sólo se guardará como se indica en el apartado anterior la ip o estación en el momento de compra
224
Anexo B Lista de Chequeo de Seguridad en TI 1.13 1.14 1.15
¿Identificación de quien realizó la última modificación a nivel de registro? ¿Permite cerrar/concluir sesiones de un usuario de manera remota? ¿Permite sacar reportes de seguridad?
1.16 ¿Permite customizar reportes de seguridad? ¿Cuál es el procedimiento? 1.17 ¿La creación, administración, asignación de roles (permisos) y perfiles (recursos) a usuarios se realiza únicamente desde la aplicación? 1.18 ¿Es posible asignar varios roles a un usuario? 1.19 ¿Se pueden configurar en múltiples formas los diferentes eventos a auditar?
SI
Las bases de datos que se usarán para esta nueva gestión por procesos tienen implementado modelos de auditoría para los registros que son actualizados o eliminados
SI
Para la operatividad efectiva se implementará un módulo que permita estar monitoreando presuntos fraudes.
SI
Ya se tiene implementado para la gestión de la compra y venta del producto internet inalámbrico
SI
Ya se encuentra implementado para la venta de internet inalámbrico
SI
Todos los módulos que se verán impactados CRM-IntegraciónFacturación ya tienen la implementación
SI
Para los roles que ya tiene asignados la compañía, aunque para este proceso no se modificarán los roles ya existentes. Se tomarán los mecanismos de auditoría existentes, para este nuevo proceso se monitorean las ips desde las cuales se realiza transacciones
No 1.20 ¿Se podrá asignar permisos en modalidad de consulta únicamente sobre portales/formas/paginas que sean de actualización? SI 1.21 ¿La aplicación esta sobre un protocolo seguro (SSL/TLS/SSH) en sus últimas versiones? SI 1.22 ¿Se efectúa un tratamiento claro y preciso sobre el manejo de excepciones dentro de la base de datos? SI
Con los roles que ya se encuentran definidos en la organización Se utilizarán claves de encripción para la transmisión de mensajes y credenciales de seguridad. Ya se encuentran implementados en las bases de datos que se ven involucrados en el nuevo proceso.
225
Anexo B Lista de Chequeo de Seguridad en TI 1.23 ¿Se cuenta con una herramienta/proceso para el manejo de versiones y control de fuentes? 1.24 ¿Se tiene un proceso/procedimiento para dar de baja a un usuario? ¿Se tiene restricción para ver el código fuente 1.25 de las páginas? ¿Si la aplicación está expuesta y recolecta 1.26 datos, se válida que software maliciosos no diligencia los formularios automáticamente? 1.27 ¿Si la aplicación está expuesta y recolecta anexos (archivos), se tiene un mecanismo de control para los archivos y datos cargados (tamaños)? 1.28 ¿Si la aplicación está expuesta y recolecta datos como archivos o elementos multimedia, se tiene una protección antivirus que revise estos archivos? 1.29 ¿Si el aplicativo requiere de la funcionalidad de envió de correos, se tiene estipulado qué tipo de servicios de mensajería? 1.30 ¿Se tiene un control de acceso adecuado para el envió de mensajes? ¿Se evita la suplantación? 1.31 ¿Se puede restringir por grupos de distribución en el envío de correos? 1.32 ¿Se restringe quién o quiénes pueden hacer envíos de correo?
SI
Adicional a los reportes y procesos que tiene la organización se contará con reportes que estén indicando alertas de presuntos fraudes en la compra.
SI
Se encontrará dentro del reporte con la opción de dar de baja a sesiones e ips de presuntos fraudes.
SI
La compra y venta tendrá código cifrado para evitar la instrucción.
SI
Dentro del portal ya se tiene un módulo que verifica software maliciosos
SI
Del portal web se pedirá que se anexe una fotocopia de la cédula del cliente, en este aplicativo web se validará el tamaño del archivo adjunto sea inferior a 300k
SI
La aplicación para este proceso sólo permitirá adjuntar archivo de Word o imágenes.
SI
Se tiene planteado enviar correo con el número del pedido con los procedimientos que se tiene actualmente implementados en la organización.
SI
Se utilizará el procedimiento que tiene actualmente la organización.
No
No se realizará envío a grupos si no al correo indicado por el cliente.
SI
El correo será con una cuenta de usuario que se tiene en la actualidad en la organización.
226
Anexo B Lista de Chequeo de Seguridad en TI 1.33 ¿Se tiene los mecanismos de hacer copias de los correos enviados? 1.34 ¿Si es aplicación Web y está orientada a cumplir un servicio de comercio electrónico, se cuenta con todos los controles criptográficos adecuados? 1.35 ¿El almacenamiento de los datos de las transacciones de hace de manera segura cumpliendo todos los ítem de control de acceso? 1.36 ¿Se puede configurar los tamaños mínimos y máximos del login? ¿Se puede configurar los tamaños mínimos y 1.37 máximos del password? ¿Se permite el cambio de contraseña 1.38 obligatorio después de la primera conexión a la aplicación? 1.39 ¿Restricción en el uso de contraseñas anteriores? 1.40 ¿Desactivación manual o automática de usuarios? 1.41 ¿Amplio rango de caracteres permitidos para la definición de las contraseñas? 1.42 ¿Control de intentos de logon fallidos? 1.43 ¿Permite el reseteo (cambio) de password? 1.44 ¿Se controlan los password triviales? (por ejemplo, que el password no sea el mismo del login)
No
El negocio y la arquitectura de la empresa actualmente no se utilizan.
SI
Se usará el procedimiento que cuenta actualmente la organización
SI
Con los procesos actuales pues estos no se cambiarán dentro del nuevo proceso
No
Para el proceso a implementar no se requiere.
No
Para el proceso a implementar no se requiere.
No
Para el proceso a implementar no se requiere.
No
Para el proceso a implementar no se requiere.
No
Para el proceso a implementar no se requiere.
No No No
Para el proceso a implementar no se requiere. Para el proceso a implementar no se requiere. Para el proceso a implementar no se requiere.
No
Para el proceso a implementar no se requiere.
227
Anexo B Lista de Chequeo de Seguridad en TI 1.45 ¿El password identifica entre minúsculas y mayúsculas? 1.46 ¿Se cuenta con algún Firewall de aplicación que evite ataques a los sitios Web? 1.47 ¿Si la aplicación está basada en arquitectura SOAP, se controlas las consultas XML desde fuentes externas? 1.48 ¿Se realiza un manejo coherente de los errores en el sitio Web? Estos no deben mostrarse. ¿Si se realiza uso de Web Services, que control de acceso se tiene a nivel de 1.49 autenticación y autorización para ser consumidos? ¿Si se realiza uso de Web Services, verifique la posibilidad de encriptar los encabezados y 1.50 contenidos, así mismo crear funciones para firmar estos? 1.51 ¿Si la aplicación está basada en arquitectura SOAP, se ha considerado el uso de WSSecurity? Si, no porque. 1.52 Verifique la posibilidad de proteger la solución a través de un Firewall de aplicación (ALG). 1.53 ¿Si es aplicación Web, se tienen expiración por sesión? Debería estar entre 5 o 10 minutos acorde a la necesidad.
No
Para el proceso a implementar no se requiere.
SI
Con los Firewall que actualmente se tiene en el sitio web de la organización.
SI
Para el portal y el pago por medio del PSE ya se tiene implementado.
SI
Se tiene en cuenta en el desarrollo del nuevo módulo en la aplicación web el manejo y catálogo de mensajes.
SI
Los lineamientos que tiene actualmente la organización para el uso de los web services se tienen en cuenta.
SI
Los web services que se implementarán tendrán encriptación según los lineamientos que cuenta actualmente la organización.
SI
Si se tiene en cuenta, el proceso de negocio requiere que se usen Web Services seguros para evitar fraudes, estos lineamientos se presentarán ante el comité de arquitectura en la fase del diseño.
SI
Con los mecanismos y procesos que tiene la organización sin la necesidad de comprar nuevas tecnologías.
SI
Se usará en el nuevo módulo del portal web caducidad de la sesión que realiza el cliente para la compra del producto internet inalámbrico.
228
Anexo B Lista de Chequeo de Seguridad en TI 1.54 ¿La aplicación valida que no se ingresen caracteres de escape ('; ""; ; /; \)? Estos se deben controlar. 1.55 ¿La aplicación valida que no se ingrese sentencias y/o scripting con caracteres especiales que exploten técnicas XSS, SQL Injection o similar? (1'=1, UNION, CONCATE, etc.). 1.56 ¿Se tiene controles en el aplicativo que evite consultas masivas a través de robot o técnicas automáticas? Esto se debe controlar, por ejemplo con sistemas captcha 1.57 ¿Si el aplicativo es Web y resguarda información sensible, está excluida del almacenamiento en "caché"? 1.58 ¿Si la aplicación es para ser usada en dispositivos móviles, ésta captura alguna información de los dispositivos? ¿Cuál? 1.59 ¿Si la aplicación es para ser usada en dispositivos móviles, Tiene la opción de controlar algún elemento del dispositivo? ¿Cuál? 1.60 ¿Si la aplicación es para ser usada en dispositivos móviles y hace alguna captura de datos, se le informa al usuario/cliente dicha funcionalidad? Si la aplicación es para ser usada en dispositivos móviles NO debe capturar 1.61 ninguna información personal (llamadas, fotos, msn, consumos, etc.) sin el
SI
El portal web ya tiene implementada las validaciones de caractéres las cuales se tendrán en cuenta para el nuevo proceso.
SI
El portal web tiene módulo de seguridad contra sql inyection
SI
Con el proceso que se tiene actualmente.
SI
Con el proceso que se tiene actualmente.
N/A
No se permitirá por el momento la compra por medio de dispositivos móviles, esto se encuentra como regla de negocio.
N/A
N/A
No 229
Anexo B Lista de Chequeo de Seguridad en TI consentimiento previo del usuario/cliente.
230
Anexo C Lista de Chequeo de Auditorias
Control de Versiones Versión Fecha Versión Marzo 02 de 2013 1.0
Actualizado por Carlos Mario Carmona
Observación Versión inicial
NOTA: La revisión del documento se deberá actualizar mínimo cada año, pues los procesos y nuevas tendencias tecnológicas implican cambio en los estándares y check-list para los nuevos desarrollos.
IMPLEMENTACIÓN DE AUDITORIAS Y REGISTROS 1.1 ¿Se tiene implementado a nivel Operativo auditorias que registren lo que puede ser modificado y registros de las ventas? SI 1.2 ¿Se tiene implementado auditorías que registren acciones malintencionadas de acceso, planes de tarifas y ventas mensuales y anuales para presentar el estado del producto? SI 1
Aplica
Observaciones Por medio de los sistemas de información se tendrán reportes que presenten auditoría del proceso, estos quedarán en el portal de información de la organización
Se implementará reportes que se visualizarán en el portal de gestión.
231
Anexo C Lista de Chequeo de Auditorias 1.3 ¿Se tiene implementados a nivel de la aplicación auditorias de seguimiento de seguridad, donde se registre usuario autenticado, rol asignado, fecha, hora, estación donde hizo logon, fecha-hora finalización de la sesión, IP de la maquina? 1.4 ¿Se tiene auditoría de las transacciones realizadas sobre este nuevo proceso? 1.5 Se tiene implementado auditorias o recolección de datos recogidos/escritos desde la aplicación (en el caso de un chat, sistema sms, etc). 1.6 ¿Todos los log de monitoreo y registros de auditoría se encuentran resguardados ante modificaciones mal intencionadas? ¿Es posible, ante un cambio, conocer quién o qué usuario realizó el cambio? 1.7 ¿En caso de requerir una auditoria por parte de un área interna de la empresa, cual es el procedimiento? 1.8 ¿Se tienen un manejo de incidentes de seguridad que de respuesta oportuna ante un evento de seguridad? 1.9 ¿Se implementará una investigación interna sobre posibles irregularidades (que podría hacerse sin previo aviso)? ¿Cómo se procese y cómo es el manejo de la custodia (evidencia)?
SI
El sistema permitirá con la implementación del proceso validar desde que máquinas los clientes realizan compras del producto, en caso de ocurrir anomalías se enviarán notificaciones de posibles fraudes para que el personal de operaciones actúe sobre ellos.
SI
Se con la adición en el portal de gestión con auditorías al nuevo proceso de negocio
N/A
SI
Con el proceso que actualmente tiene implementada la organización.
SI
El área de servicio tendrá acceso a los reportes de auditoría implementados en el portal de gestión con el fin de tomar decisiones con posibles fraudes que se estén presentando.
SI
Se implementará un nuevo flujo en la mesa de servicio para tener control y evidencia de posibles eventos que se presenten.
SI
Se realizará por medio del monitoreo y evaluación de los productos que han sido vendidos, el personal de operación quedará a cargo de enviar notificaciones como también en la adecuación de las aplicaciones para los roles de control y fraudes.
232
Anexo C Lista de Chequeo de Auditorias 1.10 ¿Ante un evento o incidente con la Justicia Colombiana, cual es el procedimiento para recolectar la evidencia? SI 1.11 ¿Cómo se protege la información nuestra ante algún requerimiento de la Justicia donde reside la plataforma tecnológica y la aplicación de éste servicio? SI 1.12 ¿Cómo aplicarían las cláusulas penales o cualquiera que sea ante una posible violación de Habeas Data (datos personales)? 1.13
¿Se tienen registros de auditoría de control?
Rastros de auditoría que presentará los sistemas de información
Con la información suministrada por el cliente, las bases de datos de controla y el botón de pagos de PSE.
SI
Con los mecanismos y procesos que actualmente tiene implementada la organización.
SI
La auditoría se realizará con el acompañamiento de operaciones 7x24 los ANS que se tienen estipulados son de 6 horas
SI
Infraestructura en las ciudades que se piden el servicio, en caso que el cliente no se encuentre en la cobertura de la organización se notificará vía correo con la información que suministró el cliente.
1.14 ¿Qué cláusulas de limitación del servicio?
233
Anexo D Lista de Chequeo Llaves Criptográficas
Control de Versiones Versión Fecha Versión Marzo 02 de 2013 1.0
Actualizado por Carlos Mario Carmona
Observación Versión inicial
NOTA: La revisión del documento se deberá actualizar mínimo cada año, pues los procesos y nuevas tendencias tecnológicas implican cambio en los estándares y check-list para los nuevos desarrollos.
1 1.1
CRIPTOGRAFÍA ¿Si la BD es propia, las tablas de seguridad están encriptadas, la que contienen los password?
1.2 ¿Si la BD es propia y si API requiere login/password, este va encriptado?
Aplica
Observaciones
SI
Se seguirá utilizando las llaves criptográficas que tiene implementadas la organización para la generación del nuevo proceso, todo esto quedará consignado dentro de las pruebas y la definición del diseño
SI
Para la transacción de venta y compra en cada uno de los componentes se utilizará las claves criptográficas.
234
Anexo D Lista de Chequeo Llaves Criptográficas 1.3 ¿Si la aplicación se conecta con un usuario único a la base de datos, este usuario único viaja encriptado? SI 1.4 ¿Si es aplicación Web y está orientada a cumplir un servicio de comercio electrónico, los canales de comunicación van encriptados (SSL/TSL/SSH) en sus últimas versiones? SI 1.5 ¿Si la aplicación está orientada a cumplir un servicio de comercio electrónico, se cuenta con una infraestructura PKI que soporte todo el servicio a través de una entidad certificadora (CA)? SI 1.6 ¿Si es aplicación Web y está orientada a cumplir un servicio de comercio electrónico, se cuenta con todos los controles criptográficos adecuados? Canales seguros, certificados digitales, encripción de datos, verificación de certificados y entidades certificadoras, cumplimiento de regulaciones, etc. SI 1.7 ¿Se tiene almacenamiento encriptado de las contraseñas, sin funciones de desencripción? SI
Viajará encriptado por los servicios web expuestos y a través del protocolo seguro HTTPS.
Se seguirán los lineamientos propuestos por la organización para este nuevo proceso de negocio. Dentro del diseño e implementación se tendrán en cuenta.
Se realizará la compra de nuevos certificados que apalanquen la compra y venta del producto Internet Inalámbrico.
Ya se tiene la seguridad necesaria para el nuevo proceso y se encuentra dentro de los diseños como punto vital para poder tener solución adecuada del proceso. No se guardará dentro de los fuentes de los componentes ninguna función de des-encrptación, estas quedarán en un punto central q manejará únicamente el personal de IDC de manera que ninguna persona pueda acceder a ella
235
Anexo D Lista de Chequeo Llaves Criptográficas 1.8 Si se realiza uso de Web Services, verifique la posibilidad de encriptar los encabezados y contenidos, así mismo crear funciones para firmar estos 1.9 Si la aplicación hace uso de un sistema PKI, Debe utilizarse como mecanismo de cifrado asimétrico un tamaño de clave mínimo de 1024 bits.
SI
Para este proceso como es vital la seguridad se manejará web services seguros que utilicen encabezados y contenidos encriptados como también a su vez se usarán funciones para la firma de estos.
No
El nuevo proceso de negocio no se usará sistema de PKI pues ya se tiene dentro de los lineamientos la verificación con los arquitectos de infraestructura y de software la verificación de la nueva solución que se requiere dar al negocio.
1.10 Si la aplicación hace un resguardo de datos a través de hash (o resúmenes matemáticos), debe utilizarse funciones con un tamaño mínimo de 256 bits. No 1.11 Si se requiere encripción simétrica, este debe ser mínimo de 128 bit (debe usarse AES) SI 1.12 ¿Si va a hacer uso de certificados digitales, estos se pueden revocar? SI 1.13 ¿Si va a hacer uso de certificados digitales, cual es el tiempo de expiración de éstos? SI
El nuevo proceso de negocio no se usará sistema de PKI pues ya se tiene dentro de los lineamientos la verificación con los arquitectos de infraestructura y de software la verificación de la nueva solución que se requiere dar al negocio. Se utilizará el lineamiento que utiliza la organización y será implementado entre el portal web y el componente CRM. Si se revocarán y serán modificados con una periodicidad de 3 meses para evitar posibles fraudes, dentro del mapa de procesos de operaciones quedará esta tarea periódica, la cual debe ser flexible y confiable. Tendrán una periodicidad de 3 meses que será tarea del grupo de operaciones la cual ya se encuentra dentro del mapa de procesos.
236
Anexo E Operatividad en aplicaciones y servicios
Control de Versiones Versión Fecha Versión Marzo 02 de 2013 1.0
PROCESO APLICACIÓN
SERVIDOR DURACIÓN HORA DE (ES) (Minutos) EJECUCION
Actualizado por Carlos Mario Carmona
Observación Versión inicial
HORA HORA EJECUTADO PROCEDIMIENTO NIVEL DE INICIAL DE FINAL DE ESTADO OBSERVACIONES POR DE APOYO CRITICIDAD EJECUCIÓN EJECUCIÓN
237
![[PDF] Carlos Mario Carmona Ramírez - Free Download PDF (2024)](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAQAAAC1HAwCAAAAC0lEQVR42mP8/h8AAvMB+NzmkbcAAAAASUVORK5CYII=)