Archivo del sitio

La importancia del Plan de Contingencia de TI

El objetivo de este blog es establecer que es un Plan de Contingencia de TI y su importancia en las organizaciones.

El Plan de Contingencia de TI es una herramienta que mitiga el riesgo de no poder continuar con las operaciones por períodos que se prolongan más allá de lo soportado por los procesos de negocio. Es decir, no estamos hablando de interrupciones debidas a un corte de energía eléctrica. Un corte de energía eléctrica en los países centroamericanos es tan frecuente, que para poder operar, los centros de datos y lugares críticos de procesamiento de datos, deben de tener implementados sistemas de redundancia eléctrica, protección ante los cambios de voltaje y la generación de energía alterna a la fuente primaria. Por supuesto, la inversión a realizar en la protección eléctrica debe ser en proporción a la importancia que tiene el proteger los activos y mantener las operaciones funcionando. Si ponemos de ejemplo un Banco, seguramente para no interrumpir el flujo de atención a clientes, la protección eléctrica incluirá hasta plantas de generación eléctrica con capacidad para mantener operando todas las oficinas de manera continua. No hacer esto, implicaría además de un impacto financiero, al retrasar la percepción de ingresos, un daño a la imagen del Banco, que tendría a los clientes esperando a que se reanuden los servicios.

El Plan de Contingencia de TI va más allá. Cuando el centro de datos falla, junto con todos sus mecanismos de protección primaria, cuando se pone en riesgo no sólo las operaciones, sino la integridad física de las personas, el Plan de Contingencia debe de ser la guía que indica qué hacer. Responde a preguntas como: ¿Qué pasa si se inunda mi área de operaciones? ¿Qué pasa si se incendia el edificio? ¿Qué pasa si un terremoto destruye el edificio? ¿Qué pasa si un volcán hace erupción y me obliga a parar operaciones? En todos estos casos, la ejecución de negocios de manera normal no es posible, por lo que el Plan de Contingencia de TI debe prever como se trasladarán las operaciones, las tareas que hay realizar, quién será el responsable de realizarlas, como se comunicarán los equipos y la ejecución de procedimientos de contingencia para que se reconecten los vínculos con clientes, proveedores y empleados. Definitivamente, un Plan de Contingencia de TI es uno de esos planes que uno quisiese no tener nunca que ejecutar, pero llegado el momento de un desastre, es considerado un activo valioso de la empresa, preparada para afrontar problemas y seguir adelante con la ejecución de planes.

La creación de un Plan de Contingencia de TI inicia con las priorización de todos los activos de información, entendiendo en cada caso el nivel de criticidad para los objetivos de la empresa. Posiblemente, en una organización grande existan servicios que facilitan labores secundarias que no son precisamente en las que hay que enfocarse. Esta categorización debe ser realizada con la participación con los dueños de la información, comenzando con la alta dirección. Como resultado de este análisis, quién realiza el Plan de Contingencia de TI conocerá exactamente el orden en el que deben de afrontarse las contingencias, los servicios que deben iniciarse primero y todos los recursos involucrados. Esta priorización debe ser realizada tanto a nivel cualitativo como a nivel cuantitativo. Debe establecerse claramente el monto de pérdida por el cese de operaciones para poder establecer un plan de contingencia que con una inversión razonable minimice la pérdida. Esto es, el Plan de Contingencia no debe de ser más costoso que la pérdida, porque si ese fuera el caso, no tendría viabilidad financiera. Esto permite concluir que el Plan de Contingencia de TI es importante desde el punto de vista financiero para una organización, reduciendo la pérdida y el impacto en el negocio en caso de un desastre.

Organizando las funciones de TI siguiendo estándares

Los Gerentes de TI deben de apoyar sus decisiones en los estándares ampliamente consensados en la industria. Normas de seguridad, marcos de referencia de control y mejores prácticas para proporcionar servicios de TI son las áreas básicas que deben de ayudar a definir las políticas, funciones, procedimientos operativos y prácticas de gestión de TI.  En un país como El Salvador, que tiene que aprovechar todas las ventajas ya generadas por los estándares creados para cada situación, los Gerentes de TI deben de considerar la gama de estándares y revisar su propia realidad para identificar oportunidades de mejora.

El ejercicio es básico. En primer lugar, hay que identificar en base a los requerimientos del negocio, en qué áreas la función de TI debe de apoyar significativamente la creación de valor. Muchos estándares, como los de Continuidad de Negocios, no deben pensarse exclusivamente desde el punto de vista de TI, debido a que los procesos de negocios se logran a  través de una combinación de tecnología, proporcionada por el departamento de TI, y recursos humanos, totalmente independientes de TI. Igual podría pasar con los estándares de seguridad. Existen lineamientos generales por industria o requerimientos basados en la imagen y reputación de la organización que deben de considerarse para establecer que tan lejos se debe de llegar en la implementación de un Plan de Seguridad de la Información. Es importante priorizar los requerimientos para tener un criterio de decisión al momento de planificar los proyectos de implementación de estándares.

Posterior a la clarificación de requerimientos del negocio, se debe de realizar un proceso de selección de los estándares que se adoptarán. El resultado de esta selección debe de indicar un camino a seguir, los criterios a utilizar para definir qué procesos se implementarán, como se realizarán, como será medido el éxito en la ejecución de los servicios de TI, no necesariamente una sucesión de proyectos para implementar estándares. Es importante no considerar los estándares como el fin último. No se trata de llegar a decir: “hemos implementado un número determinado de estándares”. Se trata de ser efectivos y eficientes en el soporte a los proceso de negocio, eliminando riesgos y aportando valor a la organización. Estos elementos, la organización no los mide por el número de estándar implementados, sino por tiempos de respuesta cortos, sistemas de información robustos, resolución de problemas eficiente, que son cosas que permiten realizar negocios sin interrupciones, soportando el logro de los objetivos organizacionales.

Finalmente, la implementación de estándares tiene que materializarse incluyendo sus recomendaciones y prácticas en las políticas, procedimientos y controles necesarios en los procesos de gestión de TI que permitan garantizar un buen uso de los recursos de tecnología de la información de la organización. Esta parte es la que cuesta más a los Gerentes de TI. Ocurre muchas veces que se reciben capacitación sobre los estándares, pero no se establecen medidas que implementen estos estándares en las operaciones de TI. En la mayoría de los casos, se debe a una deficiencia general en el proceso de adopción de estándares, en la que se pretende crear proyectos de implementación “por estándar”, creando conflicto con las prácticas existentes o con la implementación de otros estándares. Es importante en este paso, crear el propio marco de organización de la organización, basado en varios estándares, pero respondiendo a los requerimientos de negocios planteados desde un inicio. De esta forma la gestión de TI sacará provecho de los estándares, logrando un verdadero impacto en la forma en la que la organización percibe el apoyo de TI.

El Control Interno de TI

BLOG_20121210Desde mi propia experiencia, aprender sobre el control interno no es fácil. Aunque la palabra control aparece en todos los libros de Gestión de Empresas y Producción de Bienes y Servicios, parece que a la mayoría de los profesionales nos entusiasma más el hacer cosas que el controlarlas sistemáticamente. Así, vemos industrias que se desarrollan haciendo cosas, con controles precarios o sin control y son exitosas. Estas experiencias exitosas en las que la falta de control no fue obstáculo para lograr objetivos, llevan a muchos profesionales de la Gestión a pensar que el control no es necesario. Tal vez sólo cuando se administra dinero, como pasa en las organizaciones financieras y entidades comerciales que manejan mucho dinero en efectivo, como los supermercados y almacenes, es que las actividades de control parecen naturales. Es decir, como se puede pensar en darle efectivo a una persona, permitirle que reciba ingresos de efectivo de los clientes y al final del día dejar que se vaya a su casa sin rendir cuentas minuciosamente de todas las transacciones realizadas durante el día. En este caso, incluso se ven controles adicionales, como el de la seguridad del lugar de trabajo, la ejecución de cortes de caja frecuentes para reducir riesgos de robo o pérdida y otros más.  Esto implica que cuando se trata de ingresos, se entiende la necesidad de control. ¿Por qué no se entiende de la misma forma la protección de activos informáticos? A pesar de que han existido casos de fraude en lo que se no se roba dinero en efectivo, sino que se aplican transacciones ficticias, como pagos a créditos o descuentos no autorizados a ciertos clientes. Incluso, cosas más allá del ambiente interno, como el que se roben la información de tarjetas de crédito de los clientes de un almacén, perdiendo la confidencialidad de las operaciones. O que tal de los casos en los que se han tomado el sitio Web de una organización, perdiendo reputación. Y existen muchos casos más, pero todos estos casos, parecen no tener efecto en el entendimiento de que se necesita crear un ambiente de control interno en las operaciones de TI.

El Control Interno, es definido en COBIT 4.1. como “las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una garantía razonable de que los objetivos del negocio se alcanzarán y de que los eventos indeseables serán prevenidos o detectados y corregidos”. Esta es una definición simple, fácil de seguir, que nos enseña que el control interno se trata de simples reglas a seguir, para documentar la forma en la que se realizan las actividades, como se realizan, como se supervisan, como se organización la empresa para asignar responsabilidades de supervisión y control. Esto permite evitar desviaciones que nos alejen de los objetivos institucionales, agregando valor y eliminando riesgos. Es cierto que en el caso de las Tecnologías de la Información las complejidades técnicas pueden llevarnos a tener dificultades para comunicar los mecanismos de control, pero por ejemplo, el especificar una política de seguridad de la información, acompañado de un plan documentado de seguridad y un manual de procedimientos de seguridad, proporcionan una mayor garantía a la Alta Dirección, de que la Gestión de TI esta efectivamente manteniendo un ambiente de control interno sano, que ha identificado los controles necesarios y los está ejecutando. Después de todo, le toca a la Auditoría Interna el verificar el diseño y efectividad de los controles, por lo que la Alta Dirección tiene así un balance de funciones para quienes le soportan todas sus operaciones y por lo tanto, no necesita conocer el detalle técnico de cada cosa. Los Auditores si necesitan saber detalles técnicos y por eso existen los Auditores de Sistemas, que normalmente son profesionales en las Tecnologías de la Información, con experiencia y certificaciones que garantizan a las organizaciones que las auditorías realizadas tendrán la calidad requerida y aportarán valor a la organización, a través del fortalecimiento del control interno.

La Construcción de Políticas de TI

Como todo marco regulatorio, el conjunto de normas que rigen las operaciones de TI deben de ser dirigidas por políticas. La construcción de las políticas debe de considerarse como el paso número uno de la generación de un marco regulatorio más grande. ¿Qué debemos evitar? La gerencia de TI debe de implementar normas que apoyen la gestión del negocio, que tengan el mismo sentido de dirección y organización que tiene la empresa, por lo que lo primero que hay que evitar, es el impulso de políticas que se distancien de los planes organizacionales. La principal razón por la cual las políticas deben de ser aprobadas al más alto nivel organizacional es el garantizar que su enfoque ha sido presentado a la alta dirección, que se han discutido las implicaciones y que se han elegido los lineamientos que tienen todo el apoyo de la alta dirección. Esto es especialmente importante en los grandes corporativos, que se expanden en diferentes empresas y muchas veces obligan a la coordinación de diferentes departamentos de informática, algunos de ellos operando sobre diferentes condiciones por el giro al que se dedican, las regulaciones externas aplicables y la situación competitiva. En el ambiente de una empresa más pequeña, siempre tiene importancia la aprobación de la alta dirección, especialmente porque en estas empresas puede suceder que las relaciones de confianza entre los diferentes usuarios con la alta dirección, lleve a los usuarios a solicitar autorizaciones a la alta dirección para no cumplir con las regulaciones de TI, bajo cualquier pretexto, sea válido o no. En estos casos, la definición de políticas y el proceso de discusión que tiene que llevar a un entendimiento de la alta dirección del objetivo de cada política, de los riesgos que se están previendo, de la motivación para incrementar la seguridad de la información o la eficiencia de las operaciones. Se puede decir que la definición de políticas debe de ser visto como el primer punto de integración de las operaciones de TI con el negocio, a un nivel pre-operativo, que establece lineamientos para realizar tareas más específicas, que serán posteriormente detalladas por normas específicas, la adopción de estándares y la definición de procedimientos de trabajo.

Podemos concluir entonces que la construcción de políticas de TI debe de estar en sintonía con las intenciones de la organización y el nivel de soporte de TI necesario para lograr los objetivos del negocio. Por lo tanto, no es sano sólo copiar las políticas de otra organización. La aprobación de políticas por la alta dirección debe de garantizar que se han discutido y entendido las consecuencias de una política determinada y que no se presentarán desviaciones significativas en su ejecución.

La Estrategia de TI

Suena familiar hablar de planes relacionados con inversiones en Tecnologías de la Información en las empresas, siempre se está planeando el próximo “Gran Proyecto”, la siguiente “Gran adquisición”. Es importante que todas estas acciones tengan una razón de ser, analizada previamente, planificada, que contribuya a cumplir metas previstas y que aporte a los objetivos de negocio. Esto se logra mediante un ejercicio de planificación detallada, que permita establecer objetivos claros para el área de TI, con metas cuantificables que tengan hitos que permitan realizar una evaluación permanente del avance logrado. Adicionalmente, se debe de establecer “la estrategia de TI”. No podemos planificar sin establecer una estrategia, sin definir claramente la línea de acción que dirigirá todas las acciones. La estrategia permitirá que todos los proyectos y adquisiciones contribuyan de una manera simbiótica al logro de metas.

En un mundo con múltiples elecciones a la hora de elegir tecnologías, la definición de una estrategia permitirá tomar decisiones tajantes respecto a que hacer y que no. Esto evita la creación de círculos de prueba de tecnologías en las empresas. Por ejemplo, si al momento de definir una estrategia se ha optado por un ERP específico, probablemente, el ejercicio de solución de nuevos problemas pasará siempre por el análisis de si el ERP ya nos resuelve el problema, añadiendo un módulo o realizando una programación adicional, versus, la adquisición de una aplicación adicional o el desarrollo de una nueva. Definir una estrategia de TI es un ejercicio que permite seguir un patrón de planeación similar al de los fabricantes de tecnología, logrando un paralelo en cuanto al desarrollo de nuevas características de un producto y el aprovechamiento de dicha característica en la organización. Al momento de definir la estrategia de TI, se debe de realizar una investigación de la situación del mercado de tecnologías, que permita conocer cuales tecnologías tienen un ciclo creciente de desarrollo. Muchas organizaciones reciben la mala noticia de que la tecnología que han adquirido hace dos años ha iniciado un proceso de transición, lo que pone en riesgo el soporte, la creación de nuevas características y obliga a las organizaciones a reinvertir en un período corto.

La Gerencia de TI, a través de la definición de la estrategia, dirige no solo la adquisición de tecnologías, sino también el desarrollo del negocio, las características que le serán aportadas a partir de su soporte tecnológico, los procesos de negocio que facilitará. También define la forma en la que el recurso humano será desarrollado. Este último elemento es sumamente importante. Cada vez más, el mundo de las Tecnologías de la Información proporciona más información técnica que debe de ser asimilada por el personal de TI. Tener una tecnología y no usarla en su máxima expresión, es como tener inventarios en bodega, es dinero de la empresa que no esta aportando a la obtención de resultados. Por eso la estrategia de TI determina el entrenamiento que el personal de TI recibirá, para lograr alcanzar las metas establecidas.

Elementos de la Estrategia de TI: Tecnología, Procesos de Negocio y Recursos Humanos.

La estrategia de TI incidirá en los procesos de negocio, la elección de la tecnología y el desarrollo del Recurso Humano.

 

Como mínimo, la estrategia de TI debe ser determinante en los procesos de negocio, la elección de tecnologías y los procesos de desarrollo del personal. Esto permitirá a la gestión de TI incidir efectivamente en la organización.

¿Qué son los controles de TI?

La definición de controles se refiere a la creación de mecanismos que aseguren que los objetivos de la inversión en TI son cumplidos y que los riesgos inherentes a las Tecnologías de la Información son mitigados. Estos mecanismos están representados por todas las acciones, documentos y configuraciones de dispositivos que permiten identificar quién es el responsable del control, en qué consiste, la frecuencia de uso, los productos que se emitirán para garantizar su ejecución, así como la medición de los resultados y las acciones correctivas a realizar para mejorar la situación controlada. Específicamente estamos hablando de cosas como los manuales organizacionales de las funciones de TI, de las políticas que definan los lineamientos a seguir, de los procedimientos existentes para especificar como se hacen las operaciones diarias y rutinarias en el contexto de la infraestructura tecnológica de la organización, de los reportes que se emitirán y a quienes se presentarán para toma de decisiones, incluyendo su frecuencia de emisión. Con esta claridad, pasamos a darnos cuenta de que los controles de TI no tienen nada de místico, son documentos con los que todo el mundo esta familiarizado.

Sin embargo, muchas unidades de TI carecen de controles claves, dejando la obtención de resultados y otros factores como la seguridad, la efectividad y la eficiencia de sus operaciones al azar. Veamos un ejemplo. Se conoce que el acceso a la información de la organización debe de ser restringida solamente al personal autorizado y siguiendo un principio de asignación de privilegios mínimos necesarios para cumplir con las funciones de su perfil de puestos. Este simple hecho, plantea la necesidad de varios controles para contar con un acceso a la información adecuado. Controles que podemos enumerar para esta área incluyen: procedimientos de creación de usuarios, procedimientos de asignación de privilegios, matrices de segregación de funciones, procedimientos de revisión de usuarios inactivos, procedimientos de revisión de privilegios otorgados. Los responsables de TI, que están acostumbrados a ejecutar un ciclo de vida para la implementación de sistemas, deben de crear un paralelo con el ciclo de vida de un usuario para diseñar los controles que les garantizarán que no van a existir usuarios con acceso a información a la que no están autorizados, tomando en cuenta los cambios de estado que el usuario tendrá durante toda su vida activa en la organización. Errores típicos encontrados en la gestión de accesos se dan porque al cambiar de funciones una persona, le asignan los privilegios de su nuevo rol, pero no le remueven los privilegios de su rol anterior. Cuando un usuario ha repetido 3 o 4 veces el cambio de rol, tiene privilegios que le permiten por sí solo iniciar, ejecutar y cerrar operaciones en los sistemas. Esta simple falla de control es la que puede llevar a la ejecución exitosa de casos de fraude en las organizaciones. Esto representaría una falla de control grave.

Es importante mencionar que en el tema de controles, la función de TI tiene que participar en igual proporción de responsabilidades con el negocio, para garantizar que ambos entienden la necesidad del control, el riesgo que están cubriendo y colaborar para lograr una aplicación efectiva de los controles diseñados. Esto incluye la colaboración en la identificación de mejoras en los controles y su implementación inmediata, una vez se aprueba la siguiente versión del control.

A %d blogueros les gusta esto: