Para la administración de la tecnología hay que establecer roles y responsabilidades dentro
de los procesos como calidad, riesgos, continuidad y seguridad y verificación
de la información.
COBIT en el proceso
"PO4 Definir los procesos, la organización y las relaciones de TI",
establece la creación de un comité estratégico a nivel ejecutivo y otro al
nivel directivo de TI. Es aquí donde nacen los conceptos como el CEO y el CIO.
Comité estratégico de TI a nivel del consejo directivo. Este
comité garantiza que el gobierno de TI, como parte del gobierno corporativo, se
maneja de forma adecuada, asesora sobre la dirección estratégica y revisa las
inversiones principales a nombre del consejo directivo. Este comité solo lo
tiene los gigantes en tecnología como Google, Microsoft, Oracle y otras
empresas multinacionales como los bancos y empresas de telecomunicaciones.
Comité directivo de tecnología. Establecer un comité
directivo de TI compuesto por la
gerencia ejecutiva, del negocio y de TI para determinar las prioridades de los
programas de inversión de TI alineadas con la estrategia y prioridades de
negocio de la empresa. Este es un comité
con una orientación operativa de la tecnología donde se desprende tres cargos
importantes.
El CEO
(Chief Executive Officer). Es el gerente general de la empresa es quien
lidera los objetivos estratégicos del negocio y tiene las siguientes funcione,
este cargo de CEO puede ser delegado a otro directivo por las múltiples
funciones del gerente.
* Establecer planes estratégicos y tácticos de acuerdo a las
actividades del negocio de la empresa.
* Trabajar de la mano con el CIO, con el objetivo de alinear
los objetivos del negocio con los de tecnología de información.
* Establecer políticas en los procesos administrativos y
operacionales de la empresa.
* Como gerente general debe responder por los procesos
administrativos y de operación ante consejo directivo.
* Es de suma
importancia que un gerente general tenga claro que las adquisiciones en
tecnología son inversiones y no gastos
administrativos.
* La ubicación dentro de la estructura organizacional debe
estar en la dirección de presidencia.
EL CIO (El Chief Information Office). Es el gerente de tecnología de información,
conocedor de mecanismos que le permitan hacer una planificación para la
ejecución de los recursos tecnológicos, desarrollar planes estratégicos de TI,
además debe ser un conocedor del negocio de la empresa al igual que sus
objetivos. Las funciones de un CIO son las siguientes:
* Establecer un plan de tecnología de información para
soportar los objetivos estratégicos y tácticos del negocio.
* Crear mecanismos para controlar y medir el cumplimiento de
las metas trazadas los diferentes planes de tecnología de información.
* Establecer procesos basados en metodologías para
garantizar la continuidad de los servicios de tecnología.
* Establecer procesos que le permitan determinar tendencias
futuras con el objetivo de ser implementadas en la empresa de acuerdo al
presupuesto.
* Administrar el riesgo relacionado con la tecnología de
información.
* Establecer mecanismos que permitan generar las
desviaciones o retorno de la inversión, cuando se adquiere y se implementen
recursos tecnológicos.
Su ubicación dentro de la estructura organizacional debe
estar dentro del Departamento de tecnología de información y comunicaciones
TICS.
El Oficial de la seguridad de la información. Un oficial de
seguridad debe estar a la vanguardia de las metodologías y normas de seguridad
que garanticen implementar controles confiables para garantizar la integridad
de la información y garantizar que se
establezcan mecanismo de auditoria para los controles implementados.
Su ubicación debe estar en la oficina de auditoria para las
empresas privadas o control interno para las públicas. Las funciones de oficial de seguridad de la
información son las siguientes:
* Crear el plan de seguridad de la información de acuerdo a
los activos de tecnología de la empresa.
* Diseñar controles para los procesos administrativos y para
las aplicaciones de negocio con el objetivo mantener la integridad y
confidencialidad de la información.
* Establecer mecanismo que permitan monitorear
vulnerabilidad en la red y las aplicaciones de negocio.
* Apoyar al equipo auditor en las auditorias tanto internas
como externas en el suministro de la
documentación sobre los controles implementados.
En la actualidad los recursos y servicios de tecnología en conjunto con la
seguridad de la información, ya no se manejan a criterio propio porque existen
métodos y normas para su administración.
COBIT, Es un código de buenas practica que te permite administrar todos o
parcialmente los procesos de tecnología.
ITIL es una metodología que permite administrar los
servicios de los recursos de tecnología.
ISO 27001, es una norma certificable que permite administrar
la seguridad de la información.
Podemos concluir que el CIO, es el responsable de la
continuidad del servicio de TI, y el
Oficial de seguridad es quien responde por los controles de seguridad y
ambos deben ofrecer propuestas de dirección y cambios de alto impacto sin que
se afecte los objetivos del negocio
