clases para el final

66
Evolución de las Empresas y del Rol de TI en las Organizaciones Nelly Reyes I.

Upload: richar2605

Post on 18-Feb-2017

278 views

Category:

Education


3 download

TRANSCRIPT

Page 1: Clases para el final

Administración de Riesgos

Nelly Reyes I.

Page 2: Clases para el final

Contenido

Información, conceptos

Sistemas de Gestión de Seguridad de la Información

Activos de información y Análisis de Riesgos

Norma ISO 27001

Definición e implantación de controles

Desarrollo de política de Seguridad de la Información

Page 3: Clases para el final

INFORMACIÓNConceptos

Page 4: Clases para el final

Información

La información, junto a los procesos y sistemas que hacen

uso de ella, es un activo vital para el éxito y la continuidad

en el mercado de cualquier organización, y debe ser

protegida adecuadamente.

Page 5: Clases para el final

Ciclo de vida

La información puede ser:

» Creada

» Guardada

» Destruida

» Procesada

» Transmitida

» Utilizada (con fines adecuados e inadecuados)

» Corrompida

» Robada

» Perdida

Page 6: Clases para el final

Tipos de información

Impresa o escrita en papel

Guardada electrónicamente

Transmitida por correo o medio electrónicos

En videos corporativos

Publicada en la web

Verbal – en conversación

Page 7: Clases para el final

Información

Conjunto de datos organizados en poder de una entidad

que posean valor para la misma, independientemente de

la forma en que se guarde o transmita, de su origen o de

la fecha de elaboración

Page 8: Clases para el final

Clasificación de información

CATEGORIA DESCRIPCIÓN Ejemplo Documento/Registro Marcado Control Físico/Administrativo Reproducción Distribución Destrucción/Eliminación

PUBLICA

La información que puede ser

ampliamente distribuida sin

causar daños a la organización,

sus empleados y stakeholders.

El departamento de Gestión de

Seguridad de la Información

debe pre-aprobar el uso de esta

clasificación.

Esta información puede ser

divulgada a personas ajenas a

la organización.

materiales de marketing autorizados

para su publicación, tales como

anuncios, folletos, páginas Web,

catálogos, anuncios de vacantes.

Ninguno Ninguno Ilimitado Sin restricciones Reciclaje/Basura

INTERNA

La información cuya divulgación

no autorizada, sobre todo fuera

de la organización, sería

inadecuado e inconveniente.

Su divulgación fuera de la

empresa requiere autorización

de la administración.

La mayoría de la información

empresarial cae en esta categoría.

memorandos, boletines internos,

materiales de capacitación, políticas,

procedimientos de operación,

instrucciones de trabajo, guías,

directorios telefónicos y de correo

electrónico, información promocional

(antes de autorizar la liberación),

opciones de inversión, informes de

la productividad, informes

disciplinarios, contratos, acuerdos

de nivel de servicio, páginas intranet.

"SÓLO PARA USO

INTERNO" se aplicará a la

esquina inferior izquierda

de cada página.

Autor: responsable de las

marcas adecuadas.

Usuario: responsable de

almacenamiento y control

de documentos.

Número limitado de

copias.

Solo pueden ser hechas

por los empleados, o

por los contratistas y

terceros que han

firmado un acuerdo de

confidencialidad

adecuados.

Interior: usar un sobre de correo

interno.

Externo: utilizar un sobre cerrado.

Electrónicos: uso del sistema de

correo interno.

Para la transmisión a las direcciones

de correo electrónico externo, es

necesario encriptación.

Fax: cuidar el número de FAX

Documentos en papel:

triturar.

Documentos electrónicos:

borrar o desmagnetización

medios magnéticos.

Enviar CDs, DVDs, discos

duros muertos, portátiles,

etc. a TI para su adecuada

disposición.

CONFIDENCIAL

Altamente sensible o

información valiosa, tanto

propietaria como personal.

No debe ser divulgada fuera de

la organización sin la

autorización explícita de un alto

directivo de nivel de director.

Las contraseñas y códigos PIN,

números de tarjeta de crédito y

débito, información personal (tales

como registros de los empleados,

números de Seguro Social), la

mayoría de los datos contables, otra

información de propiedad altamente

sensibles o valiosos.

"CONFIDENCIAL" Aplicar a la

esquina inferior izquierda de

cada página.

Autor: responsable de asegurar

que la información confidencial

se distribuye en estricta

necesidad de conocimiento .

Destinatario: responsable de

asegurar que la información

confidencial es cifrada y/o

mantenida bajo llave.

Se pueden hacer copias

sólo con el permiso del

autor o de quien éste

designe.

Presentar autorización

firmada.

Interior: usar un sobre cerrado dentro

de un sobre de correo interno.

Entregar personalmente si es

posible.

Externo: utilizar un sobre cerrado sin

formato. Entregar personalmente o

enviar por correo certificado,

mensajería, etc.

Electrónico: el uso del sistema de

correo interno. Encyrpt datos.

Fax: requiere la confirmación

telefónica de la recepción de una

página de prueba inmediatamente

antes de enviar el fax, y la

confirmación telefónica de la

recepción completa.

Documentos en papel: triturar

con una trituradora corte

transversal.

Documentos electrónicos:

borrar o desmagnetización

medios magnéticos. Enviar

CDs, DVDs, discos duros

muertos, portátiles, etc. a TI

para su eliminación adecuada.

Page 9: Clases para el final

SEGURIDAD DE LA

INFORMACIÓNConceptos

Page 10: Clases para el final

Seguridad de la Información

Page 11: Clases para el final

Amenazas: Nos acechan…

Robo de información

Sabotaje de datos

Entradas no autorizadas al sistema

Abuso interno

Denegación de Servicio

Virus, Troyanos, Gusanos

Fraude telefónico

Robo de material

Page 12: Clases para el final

¿Y qué hacemos habitualmente?

¡A quién va a interesarle mi información!

Tengo un Firewall, así que estoy protegido

Ya sería mala suerte que tuviese una Inspección

¡Lo que me interesa es que FUNCIONE YA!, después ya

veremos la seguridad…

Page 13: Clases para el final

¿Seguridad?

La Seguridad es un Proceso de Mejora Contínua

La Solución no es sólo Tecnológica

Cumplimiento Ley: Obligatoriedad, Multas

Estándares: ISO 27001, camino a seguir

Redes, Sistemas, Procesos… ORGANIZACIÓN

Page 14: Clases para el final

Visión de la Seguridad

SISTEMAS DE SEGURIDAD: Firewalls, IDS, IPS, Proxy, AntiSpyware, AntiSpam, AntiVirus,

VPNs, Control de Contenidos, etc.

DISEÑO: Topologías, Arquitecturas, Servicios

GESTIÓN Y OPERACIÓN: Procedimientos, Políticas

ESTÁNDARES: ISO27001, NTP 17799

LEGISLACIÓN: LPDP, Firma Digital,

Interoperabilidad

Implementar

Gestionar

Planificar

Probar

CONSULTORÍA IMPLEMENTACIÓN AUDITORÍA

Page 15: Clases para el final

Asegurando la información

» Secreto impuesto de

acuerdo con políticas de

seguridad.

» SINO: Fugas y

filtraciones de

información; accesos no

autorizados; pérdida de

confianza de los demás

(incumplimiento de leyes

y compromisos).

» Validez y Precisión de

información y sistemas.

» SINO: Información

manipulada, incompleta,

corrupta y por lo tanto mal

desempeño de funciones.Prevenir

Divulgación no autorizada de

Activos de Información.

Prevenir

Cambios no

autorizados en

Activos de

Información.

Prevenir

Destrucción no autorizada de

Activos de Información.

» Acceso en tiempo correcto y confiable

a datos y recursos.

» SINO: Interrupción de Servicios o Baja

Productividad.

Page 16: Clases para el final

Seguridad de la información

En la gestión efectiva de la seguridad debe tomar parte

activa toda la organización, con la gerencia al frente,

tomando en consideración también a clientes y

proveedores de bienes y servicios.

El modelo de gestión de la seguridad debe contemplar

unos procedimientos adecuados y la planificación e

implantación de controles de seguridad basados en una

evaluación de riesgos y en una medición de la eficacia de

los mismos.

Page 17: Clases para el final

Problema

Page 18: Clases para el final

¿Solución?

¿Super Poderes?

¿Balas de Plata?

Page 19: Clases para el final

Solución

Un mapa

– Qué soluciones

– En qué orden

– Apoyadas en qué políticas

– Con qué procedimientos

– ...

Page 20: Clases para el final

SGSIConceptos

Page 21: Clases para el final
Page 22: Clases para el final

Sistema de Gestión de la Seguridad de la Información

Es la herramienta de la organización para dotarse en cada

momento de las medidas de seguridad oportunas, que

proporcionen los niveles de protección de la información

que en cada momento sean necesarias, de la forma más

eficiente, en un entorno de mejora continua.

Page 23: Clases para el final

SGSI

Proceso sistemático, documentado y conocido por toda la

organización, desde un enfoque de riesgo empresarial.

Ayuda a establecer políticas y procedimientos en relación

a los objetivos de negocio de la organización, con objeto

de mantener un nivel de exposición siempre menor al nivel

de riesgo que la propia organización ha decidido asumir.

Con un SGSI, la organización conoce los riesgos a los que

está sometida su información y los asume, minimiza,

transfiere o controla mediante una sistemática definida,

documentada y conocida por todos, que se revisa y

mejora constantemente.

Page 24: Clases para el final

Fases del SGSI

PDCA (Plan, Do, Check, Act)

– Plan: Establecer el SGSI

– Do: Implementar y operar el SGSI

– Check: Monitorear y revisar

– Act: Mantener y mejorar.

Page 25: Clases para el final

Establecer el SGSI

Definir una

política del SGSI

Definir la

metodologia de

evaluación del

riesgo

Identificar el

riesgo

Aprobación por la

dirección de los

riesgos residuales

propuestos

Seleccionar

objetivos de

controles

Identificar y

evaluar las

alternativas de

tratamiento del

riesgo

Analizar y Evaluar el riesgo

Autorización de la Dirección para implementar y operar un SGSI

De

cl

ar

ac

ión

de

ap

lic

ab

ilid

ad

Page 26: Clases para el final

Implementar y operar el SGSI

Formular un plan de tratamiento de riesgo

Implementar el plan de tratamiento de riesgo.

Implementar los controles

Formación y concienciación

Gestionar las operaciones y recursos del SGSI.

Implementar los procedimientos y controles que permitan

una pronta detección de y respuesta a incidentes de

seguridad.

Page 27: Clases para el final

Monitorear y revisar

Revisar el SGSI

Medir la eficacia de los controles

Revisar riesgos residuales

Registrar acciones y eventos

Realizar auditorias internas

Page 28: Clases para el final

Mantener y mejorar

Implementar las mejoras identificadas.

Tomar las acciones correctivas y preventivas apropiadas

Comunicar los resultados y acciones a los stakeholders.

Asegurar que las mejoras logren sus objetivos señalados.

Page 29: Clases para el final

Fases del SGSI

Page 30: Clases para el final

Implementación y certificación

Page 31: Clases para el final

ANÁLISIS DE RIESGOSConceptos

Page 32: Clases para el final

Análisis de Riesgos

Definición de Activos

El análisis de riesgo.

Los cursos de acción posibles.

La declaración de intenciones de la Dirección

Page 33: Clases para el final

Análisis de Riesgos

Un buen enfoque o metodología de gestión de riesgos debe considerar 4 fases:

1. Inventario de activos (valor del activo),

2. Análisis de riesgos (determinar la probabilidad de ocurrencia del riesgo),

3. Evaluación del riesgo (para determinar el nivel del riesgos efectivo y saber si es o no tolerable)

4. Tratamiento del riesgos que es donde usualmente decidimos afrontar el riesgo y consecuentemente

seleccionamos los controles a implementar

Page 34: Clases para el final

ACTIVOS DE INFORMACIÓNConceptos

Page 35: Clases para el final

Activos de Información

Activo es aquello que tiene algún valor para la

organización y debe protegerse.

Un activo de información es aquel elemento que contiene

o manipula información.

Page 36: Clases para el final

Activos de información

Archivos y bases de datos

Contratos y acuerdos

Documentación del sistema

Manuales de los usuarios

Material de formación

Aplicaciones

Software del sistema

Equipos informáticos

Equipo de comunicaciones

Servicios informáticos y de comunicaciones

Utilidades generales (calefacción, energía, iluminación y aire acondicionado)

Las personas

Page 37: Clases para el final

ANALISIS DE RIESGOSConceptos

Page 38: Clases para el final

¿Qué es Riesgo?

Amenaza: Algo que tiene el potencial de dañar a un activo.

Vulnerabilidad: Una debilidad en el activo que puede ser

explotada por una amenaza.

Riesgo: La posibilidad de que una amenaza explote una

vulnerabilidad de un activo y cause su daño o perdida

Page 39: Clases para el final

Amenazas

Usuario con grandes

conocimientos

Robo o sabotage

Virus

Fallo de red o

de sitema

Falta de

documentacionFallo de seguridad

fiisica

Desastres

naturales e

incendios

Page 40: Clases para el final

Riesgo

Amenazas

Vulnerabili

dades

Explotan

Riesgo

Valor del

activo

Requisitos

de seguridad

Activo de

informaciónControles

Page 41: Clases para el final

Analisis de Riesgo

Activo de

Información

Riesgo intrínseco

Amenaza Vulnerabilidad

Riesgo residual

Control

tieneExpuesto a

Explota

Aplica

Queda

Page 42: Clases para el final

Análisis de Riesgo

Matriz CID

Confidencialidad Baja Media Alta

Integridad B M A B M A B M A

Disponibilidad

Baja 3 4 5 4 5 6 5 6 7

Media 4 5 6 5 6 7 6 7 8

Alta 5 6 7 6 7 8 7 8 9

Matriz de valoración del activo

Page 43: Clases para el final

Análisis de Riesgos

Severidad de amenaza y vulnerabilidad

Severidad Amenaza Baja Media Alta

Severidad Vulnerabilidad B M A B M A B M A

Valor del Activo

3 3 6 9 6 12 18 9 18 27

4 4 8 12 8 16 24 12 24 36

5 5 10 15 10 20 30 15 30 45

6 6 12 18 12 24 36 18 36 54

7 7 14 21 14 28 42 21 42 63

8 8 16 24 16 32 48 24 48 72

9 9 18 27 18 36 54 27 54 81

Page 44: Clases para el final

Análisis de Riesgos

Probabilidad ocurrencia

Valor Explicación Ejemplo

1 Nunca No en los ultimos 3 años

2 Raro Una vez al año

3 Periodico Una vez por trimestre

4 Regular Una vez cada 15 días

5 Frecuente Una vez a la semana

Impacto = Valor tabla severidad vulnerabilidad y amenza x probabilidad

Page 45: Clases para el final

Análisis de Riesgos

Page 46: Clases para el final

Tratamiento del Riesgo

Nivel de

riesgo no

aceptable

Nivel de

riesgo

aceptable

Nivel de

riesgo

tolerable

Riesgos aceptados y asumidos

(No se tratan)

Asumir

Eliminar

Mitigar

Transferir

Page 47: Clases para el final

Mitigar riesgos

Seleccionar

Control

Implantar

Control

Verificar

Control

Establecer

Metricas

RiesgoRiesgo

Page 48: Clases para el final

Ejercicio: Análisis de Riesgos

Instrucciones:

En grupos, identifique 5 Activos de información de su

organización, formule un análisis de riesgos a los que

estarían sometidos.

Page 49: Clases para el final

27000La Norma

Page 50: Clases para el final

ISO 27000

La serie de normas ISO/IEC 27000 es una lista de

estándares dedicados a seguridad.

La serie 27000 es un conjunto de estándares que

proporcionan un marco de gestión de la seguridad de la

información utilizable por cualquier tipo de organización,

pública o privada, grande o pequeña.

Page 51: Clases para el final

Evolución ISO 27001

Page 52: Clases para el final

ISO 27001

Orientada a aspectos organizativos.

“Organizar la seguridad de la información”

» requerimientos para establecer, implementar, operar, monitorear,

revisar, mantener y mejorar un SGSI documentado dentro del

contexto de los riesgos comerciales generales de la organización.

Pone/demuestra “Calidad” en la seguridad de la

Información.

Page 53: Clases para el final

ISO 27001

Realizar los cambios

necesarios para maximizar

el rendimiento del SGSI

Diseño del SGSI

Implantación y

operación de los

controles

Revisar y evaluar la

eficiencia y eficacia

del SGSI

Page 54: Clases para el final

Familia ISO 27000

Page 55: Clases para el final

... Y en fase de desarrollo

ISO/IEC 27007 - Guía de auditoría de un SGSI,

ISO/IEC 27008 - Guía de auditoría de los controles,

ISO/IEC 27010 - Seguridad de la información en comunicaciones inter-sectoriales,

ISO/IEC 27012 - Requisitos y directrices de servicios de e-Administración,

ISO/IEC 27013 - Implementación integrada de ISO/IEC 27001 y de ISO/IEC 20000-1,

ISO/IEC 27014 - Guía de gobierno corporativo de la seguridad de la información,

ISO/IEC 27015 - SGSI para organizaciones del sector financiero y de seguros,

ISO/IEC 27031 - Continuidad de negocio en TIC,

ISO/IEC 27032 - Guía relativa a la ciberseguridad,

ISO/IEC 27033 - Dedicada a la seguridad en redes,

ISO/IEC 27034 - Seguridad en aplicaciones informáticas,

ISO/IEC 27035 - Gestión de incidentes de seguridad de la información,

ISO/IEC 27036 - Seguridad de outsourcing,

ISO/IEC 27037 - Identificación, recopilación y preservación de evidencias digitales.

Page 56: Clases para el final

Los Recursos de TI

Las aplicaciones incluyen tanto sistemas de usuario automatizados como

procedimientos manuales que procesan información.

La información son los datos en todas sus formas, de entrada, procesados y generados

por los sistemas de información, en cualquier forma en que sean utilizados por el

negocio.

La infraestructura es la tecnología y las instalaciones (hardware, sistemas operativos,

sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio

donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de

las aplicaciones.

Las personas son el personal requerido para planear, organizar, adquirir, implementar,

entregar, soportar, monitorear y evaluar los sistemas y los servicios de información.

Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se

requieran.

Page 57: Clases para el final

Nelly Reyes I.

Administración de

Riesgos

Page 58: Clases para el final

GOBIERNO

DE LAS TECNOLOGIAS DE INFORMACIÓN

Nelly Reyes

Page 59: Clases para el final

Tópicos a tratar

1. Introducción, el escenario actual

2. La Globalización y las TI

3. Esquema de Gobierno de TI

4. Alineamiento de TI & Valor Agregado

5. Medición del Desempeño

6. Gestión del Riesgo

7. Seguridad

Page 60: Clases para el final

El impacto cultural será diferente según la conciencia que tenga de su propia identidad.

¿Cómo entiende la globalización?

Page 61: Clases para el final

Una nueva realidad en las organizaciones

Dada la incertidumbre y turbulencia del contexto, las

organizaciones deben redefinir sus variables para

responder con competitividad.

Análisis sistémico de las variables:

» Estrategia,

» Estructura,

» Recursos humanos y cultura.

Page 62: Clases para el final

Estrategia

En los ’65, estrategia como coalición: Política.

’75, fijación de objetivos a LP: Planificación estratégica.

‘80, adaptación al entorno: Administración estratégica.

‘2k, el mundo es una construcción del hombre: Ventaja

competitiva.

Hoy, el mundo es una red de redes: Estrategia global.

Page 63: Clases para el final

Estructura

No existe una única mejor manera.

Tendencia a estructuras planas.

Flexibilidad organizativa y proyectizada.

Aplicando desburocratización.

Que piense globalmente y actúe localmente.

Bennetton?, IBM?, Coca Cola?.

Page 64: Clases para el final

Recursos humanos y cultura

Trabajo autoprogramable.

Trabajo genérico.

Nueva relación laboral: Nonaka.

Senge: la velocidad a la que aprenden puede ser la única

ventaja competitiva.

Page 65: Clases para el final

Las TIC, agente catalizador de la globalización

Page 66: Clases para el final

La brecha digital

Page 67: Clases para el final

Inclusión digital

Page 68: Clases para el final

Realidades

País Población Usuarios Internet % inclusión

Argentina 38,592,000 6,153,000 15.94%

Chile 16,267,000 4,300,000 26.43%

México 106,147,000 14,037,000 13.22%

Brasil 187,597,000 22,001,000 11.73%

Colombia 46,039,000 4,050,000 8.80%

Perú 27,947,000 3,229,000 11.55%

Cuba 11,367,000 150,000 1.32%

Nicaragua 5,483,000 125,000 2.28%

Paraguay 6,216,000 150,000 2.41%

Uruguay 3,455,000 680,000 19.68%

Pos País IAD

1 Sweden 0.85

43 Chile 0.58

50 Uruguay 0.54

54 Argentina 0.53

48 Costa Rica 0.52

62 Brasil 0.50

62 México 0.50

72 Venezuela 0.47

72 Panamá 0.47

78 Colombia 0.45

82 Peru 0.4493 Rep. Dominicana 0.42

95 Ecuador 0.41

99 Paraguay 0.39

103 Bolivia 0.38

103 Cuba 0.38

103 Guatemala 0.38

103 El Salvador 0.38

124 Honduras 0.29

134 Nicaragua 0.19

178 Niger 0.04

ÍNDICE DE ACCESO DIGITAL

El índice de acceso digital (IAD): Un

nuevo instrumento para medir el

acceso a la sociedad de la

información

Page 69: Clases para el final

Cambio de Paradigma; Organización

Page 70: Clases para el final

La comunicación en

tiempo real

La velocidad con que se

producen los cambios

La generación de

nuevos Paradigmas

Son la plaza pública de

antaño CREA

un entorno

altamente

inestable

y, TEMOR

A quedar

aislado

El proceso de globalización …

Page 71: Clases para el final

Gobierno corporativo

Page 72: Clases para el final

Gestión/Gobierno de las TI

GESTIÓN TI

Soporte

GOBIERNO TI

Alineación

Page 73: Clases para el final

En un estudio realizado en un congreso de Mejores

Prácticas de TIC se preguntó a más de 650 asistentes, todos

ellos miembros de departamentos TI, cuáles consideraban

que serían las “Peores Prácticas” de su actividad laboral en

sus respectivas organizaciones.

Por aplastante mayoría la “Peor Práctica” identificada fue:

No medimos cuál es el valor de nuestra contribución a la

estrategia de la compañía.

Gobierno de las TI, Valor

Page 74: Clases para el final

Las inversiones en TI como una cartera de inversión

Page 75: Clases para el final

0 10 20 30 40 50 60

1994

1995

1998

2000

2004

2006

2008

31

40

28

23

15

19

21

53

33

46

49

51

46

48

16

27

26

28

34

35

31

Succeeded Challenged Failed

30,000 Proyectos, Extreme Chaos Report 2008, Standish Group

Proyectos TI, en el mundo

Page 76: Clases para el final

EXCEDIDO EN COSTOS

Entre 20 % y 50 % 47.00 %

Entre 51 % y 200 % 39.80 %

Entre 201 % y +400 % 13.20 %

EXCEDIDO EN CALENDARIO

Entre 20 % y 50 % 32.20 %

Entre 51 % y 200 % 55.50 %

Entre 201 % y +400 % 12.30 %

FUNCIONALIDAD INCLUIDA EN EL PRODUCTO

Menos del 25 % 4.60 %

Entre 26 % y 75 % 49.00 %

Entre 76 % y 99 % 39.10 %

100 % 7.30 %

30,000 Proyectos, Extreme Chaos Report 2008, Standish Group

Proyectos TI, en el mundo

Page 77: Clases para el final

Las TI requieren más conocimiento técnico que otras

disciplinas para entender cómo:

» Son herramientas habilitantes de cambios en la organización,

» Generan riesgos,

» Crean oportunidades.

Tradicionalmente, las TI han sido tratadas como

entidades separadas del negocio.

Las TI son complejas, más aún en una organización que

opera en una economía en red.

¿Por qué no han logrado atención?

Page 78: Clases para el final

SIT-PG

ISO 27000

ISO 38500

eTOM

TAM

¿y las mejores prácticas? …

Page 79: Clases para el final

Generar acciones tendientes a crear valor para los

inversionistas y agentes externos

Adoptar un esquema para la gobernabilidad de las TI

Hacer las preguntas que corresponde

Focalizar las TI en:

» Alineamiento con el negocio

» Agregar valor

» Gestión del riesgo

Medir resultados

Valor

agregado de

las TI

Conductores de

valor para el

inversionista

Indicadores de

desempeño

Gestión del

Riesgo

Alineamiento

estratégico de

las TI

¿Qué debería hacer la alta gerencia?

Page 80: Clases para el final

Se estima que alrededor de un tercio del crecimiento de

los últimos años en EEUU se debe a mejoras en

productividad y al efecto de las TIC.

En Perú, las empresas destacan entre las principales

motivaciones para invertir en TI, factores como:

» la disminución de los tiempos de respuesta en los procesos,

» disminución de redundancia de información y

» mejoras del servicio al cliente.

» fuerte disminución de los precios de los bienes computacionales.

… en Perú

Page 81: Clases para el final

Arquetipos de Gobierno TI

Page 82: Clases para el final

Mecanismos comunes de Gobierno TI

Page 83: Clases para el final

Mecanismos comunes de Gobierno TI

Page 84: Clases para el final

Para medir el nivel de inteligencia TI de la compañía, cada directivo debería

empezar por hacerse las siguientes preguntas:

Gerente General:

1. ¿Quién tiene la responsabilidad de tomar nuestras decisiones TI clave, y

cómo convertirlos en responsables del rendimiento y productividad de esas

decisiones?

2. ¿Cómo se vincula el gobierno de TI de mi empresa con el gobierno de los

otros activos clave de la compañía, tales como nuestros recursos humanos,

nuestros conocimientos, nuestros activos físicos y nuestros activos

financieros?

3. ¿Cuáles son las tres o cuatro métricas clave que debería supervisar para

asegurarme que la empresa genera el máximo valor de nuestras inversiones

en TI?

4. ¿Cuál es el nivel de nuestra inteligencia en TI? ¿ Cuál es el nivel de mi

inteligencia TI?.

Agenda interrogativa …

Page 85: Clases para el final

Gerente Financiero:

1. ¿Cuáles son las principales clases de activos dentro de nuestro portafolio de

inversiones TI?

2. ¿Cuál ha sido nuestro riesgo y retorno histórico en los diferentes activos TI?

3. ¿Cómo puedo contribuir a la mejora de decisiones en inversiones TI?

Gerente de División:

1. ¿Qué porcentaje de los procesos clave de mi división están ya automatizados

y optimizados?

2. ¿Cuál es el nivel de inteligencia TI de mis recursos humanos? ¿Cuál es mi

nivel de inteligencia TI?

3. ¿Qué nivel de efectividad posee mi relación con el departamento TI? ¿Qué

papel desarrollamos en esa relación?

4. ¿Qué nivel de inteligencia empresarial tiene mi departamento TI?

5. ¿Cómo se adoptan las decisiones TI en mi división de la compañía?.

Agenda interrogativa …

Page 86: Clases para el final

Gerente de Recursos Humanos:

1. ¿Cuál es el nivel de inteligencia TI de los empleados no TI de la empresa?

2. ¿Cuál es el nivel de inteligencia empresarial de los empleados TI?

3. ¿Hemos implantado incentivos para incrementar la inteligencia TI en la

empresa?

4. ¿Qué efectividad posee nuestro programa de desarrollo profesional para

incrementar el nivel de la inteligencia TI?

5. ¿Con qué herramientas medimos su resultado?

Agenda interrogativa …

Page 87: Clases para el final

Gerente de TI (CIO):

1. ¿Qué porcentaje de los procesos clave de la empresa están automatizados y

optimizados? ¿Cuál es este porcentaje respecto a las ventas de la compañía?

¿Cuál es este porcentaje respecto a las compras de la compañía?

2. ¿Qué nivel de inteligencia TI tienen las divisiones de la

empresa?¿Deberíamos modificar la asignación de inversiones TI para las

distintas divisiones de tal modo que quede reflejada la diferencia?

3. ¿Cómo contribuyo mediante mi trabajo el nivel de inteligencia TI de los

directivos no TI?

4. ¿Cuál es la distribución actual de nuestra cartera de inversiones TI según los

diferentes tipos de activo?

5. ¿Cuál ha sido nuestro retorno histórico por tipo de activo y división de la

compañía?

6. ¿Qué cambios debo realizar en nuestro sistema de gobierno de las TI para

poder dar respuestas adecuadas a las preguntas anteriores?

Agenda interrogativa …

Page 88: Clases para el final

1. Gobierno de TI es el factor más importante para producir valor por

parte de los departamentos de TI. No obstante, son las conductas, no

las estrategias, las que crean valor. En consecuencia, la parte más

difícil de un esquema de Gobierno de las TI es la relativa al fomento

de las conductas óptimas.

2. Los Departamentos de TI deberían siempre expresar numéricamente

el valor de sus resultados.

3. A partir de ahora sus habilidades de gestión serán tan o más

importantes que sus conocimientos técnicos. Estos se pueden

externalizar. En cambio, la dirección efectiva de un Departamento TI

no se puede externalizar.

Algunos comentarios para reflexión…

Page 89: Clases para el final

IT GOVERNANCE

NORMAS ISO, NTP, ITIL ...

Leyes, LPDP, Directivas ONGEI,...

SEGURIDAD INFORMÁTICA

INFORMATIZACIÓN

Gobierno de TI, definición

Page 90: Clases para el final

Gobierno del las TI, como otros temas de

gobernabilidad, es responsabilidad de los ejecutivos e

inversionistas (representados por el directorio).

Consiste en el liderazgo, estructuras organizacionales y

procesos que aseguren que la organización de las TI

sustentan y extienden las estrategias y objetivos

organizacionales.

Gobierno de TI, definición

Page 91: Clases para el final

Elementos comunes en las diferentes definiciones;

Responsabilidad de la alta gerencia,

Proteger a los accionistas,

Asegurar la transparencia del riesgo,

Dirigir y controlar la inversión, oportunidad, beneficios y

riesgos asociados a las TI,

Alinear las TI con el negocio y aceptar que las TI son una

entrada crítica y un componente del plan estratégico,

influenciando las oportunidades estratégicas.

Sustentar las operaciones presentes y futuras,

Es una parte integral de la estructura de gobierno global.

Gobierno de TI, definición

Page 92: Clases para el final

Establecer

objetivos

medibles

Comparar

resultados

Cumplir de

acuerdo a

objetivos

Medir desempeño

Actuar si no existe alineamiento

Marco de referencia para el gobierno de las TI

Page 93: Clases para el final

1) Facilitar la actividad de la empresa

2) Garantizar la integridad de la información en la empresa

3) Desarrollar un punto centralizado para los clientes

4) Desarrollar una arquitectura TI uniforme

5) Utilizar los estándares de la industria

6) Reutilizar antes que comprar y comprar antes que

desarrollar

7) Gestión de las TI como una inversión

Principios del Gobierno de las TI

Page 94: Clases para el final

Actividades

D/G Planificar

D Dirigir

G

D/G Dirigir

G Organizar

Estar informado del papel e impacto de las TI en la organización

Establecer dirección y ganancia esperada

Determinar las capacidades e inversiones requeridas

Asignar responsabilidades

Sustentar operaciones habituales

Hacer que las transformaciones se concreten

Definir las restricciones dentro de las cuales operar

Adquirir y movilizar recursos

Medir desempeño

Manejar el riesgo

Obtener seguridad

D/G Dirigir

D Dirigir

G Organizar

D Controlar

D/G Controlar

D Controlar

Directorio y/o

Gerencia

Tipo

Actividad

Planificar

Gobernabilidad TI, actividades

Page 95: Clases para el final

Gobernabilidad TI, temas

Los objetivos de las TI—

cómo:

Mejora eficiencias

Incrementa los ingresos

Apoya la creación de nuevas capacidades

Apoya procesos centrales del negocio

Permite nuevos modelos de negocios

Las oportunidades y

riesgos de las nuevas

tecnologías:

Internet e intranet

E-commerce

Mobile computing

Workflow technology

Knowledge systems, etc.

Procesos y competencias

claves:

Rendimiento sobre la inversión de los proyectos e iniciativas TI.

Cumplimiento de éstos de acuerdo a expectativas

Desempeño de los servicios TI en relación al nivel de servicio acordado

Riesgos de las TI, protección de activos y seguridad de la información

Estrategias para el outsourcing y adquisición de TI

Procesos relevantes asociados a las TI, tales como el cambio,

aplicaciones y gestión de problemas

Competencias claves asociadas a las TI: planificación, soporte,

operaciones, gestión de proyectos, gestión del conocimiento

Comportamiento ético, privacidad de los datos, y prevención de fraudes

Page 96: Clases para el final

... el ejemplo de Finlandia

« … cuyo gobierno reconoció en 1992 la carencia de

planteamientos estratégicos en las áreas de TIC, dando lugar

a un rediseño de su enfoque y visión a nivel país,

definiéndose como una avanzada sociedad de información

basada en redes de trabajo, y como un competidor de clase

mundial TIC.

Luego, el gobierno establecería un plan estratégico, con

lineamientos orientados a incorporar TI definitivamente y

como pieza fundamental en el desarrollo del país.

Como resultado, Finlandia logró levantar sus lívidas tasas de

crecimiento del orden del 2% a más del 4%, así como reducir

su índice de desempleo del 18% registrado en 1994, a tasas

1,3% en 2009 ».

Page 97: Clases para el final

El directorio debiera conducir el alineamiento a través de:

»Asegurarse de que la estrategia de TI está alineada con la estrategia del

negocio

»Asegurarse que las TI prestan un servicio según la estrategia por medio

de expectativas y mediciones claras

»Dirigir la estrategia de TI de tal forma que exista un balance entre las

inversiones de soporte y el crecimiento de la organización

»Tomar decisiones acerca de donde focalizar los recursos de TI

“La alineación de

TI es el viaje, no el

destino”

Estrategia

del Negocio

Operaciones

de TI

Estrategia

de TI

Operaciones

del Negocio

Alineación Estratégica de las TI

Page 98: Clases para el final

El directorio debiera conducir la alineación de forma de

asegurar que las TI agreguen valor, como:

Ventajas competitivas;

• tiempo transcurrido para cumplir una orden o entregar un servicio,

• satisfacción del cliente,

• tiempo de espera del cliente,

• utilidad y productividad y de los empleados

Apoyados por una estrategia de TI que asegure entregas

a tiempo, dentro del presupuesto y cumpliendo con los

beneficios prometidos.

Valor agregado de las TI

Page 99: Clases para el final

“El valor de las TI está en el ojo del observador”

Valor agregado de las TI

Mediciones de la Muestra Valor Agregado

Aumento de Ingresos

FINANZAS

Gestión del

Negocio

Gestión de

TI

Rendimiento sobre Activos

Ingresos por empleado

Tiempo para introducir un nuevo producto al

mercado

OPERACIONESVentas del nuevo producto

Calidad del producto/servicio

Tiempo de implementación de nuevas

aplicaciones DESARROLLO DE

APLICACIONES TICosto de implementación de nuevas

aplicaciones

Disponibilidad de la infraestructura

INFRAESTRUCTUR

A TICosto por transacción

Costo por área de trabajo

Tie

mp

o d

e im

pa

cto

en

el N

eg

oc

io

Page 100: Clases para el final

FINANCIERA

• # de clientes TI

• Costo por cliente

• Costo-eficiencia de los

procesos

• Valor agregado de las TI

por empleado

• Disponibilidad de sistemas y

servicios

• Desarrollo programado y

dentro del presupuesto

• Rendimiento & tiempo de

respuesta

• # de errores y trabajo de

corrección

• Nivel de prestación del

servicio

• Satisfacción de clientes

existentes

• # de nuevos clientes

• # de nuevos canales de

servicio

CLIENTES

• Productivad y moral del personal

• # del personal capacitado en nuevas

tecnologías/servicios

• Valor agregado por empleado

• Mayor disponibilidad de sistemas de

conocimiento

APRENDIZAJE

PROCESOS

Medición del desempeño, BSC IT

Page 101: Clases para el final

Activo de

Información

Riesgo intrínseco

Amenaza Vulnerabilidad

Riesgo residual

Control

tieneExpuesto a

Explota

Aplica

Queda

Administración del Riesgo, asociado a las TI

Page 102: Clases para el final

Visión de la Seguridad

SISTEMAS DE SEGURIDAD: Firewalls, IDS, IPS, Proxy, AntiSpyware, AntiSpam, AntiVirus,

VPNs, Control de Contenidos, etc.

DISEÑO: Topologías, Arquitecturas, Servicios

GESTIÓN Y OPERACIÓN: Procedimientos, Políticas

ESTÁNDARES: ISO27001, NTP 17799

LEGISLACIÓN: LPDP, Firma Digital,

Interoperabilidad

Implementar

Gestionar

Planificar

Probar

CONSULTORÍA IMPLEMENTACIÓN AUDITORÍA

Page 103: Clases para el final

1. ¿Reconocerían los empleados un incidente cuando vean uno? ¿Lo ignorarían?

Sabrían ellos que hacer al respecto?

2. ¿Conoce alguien cuántos computadores tiene la organización? Sabría la

administración si alguno se pierde?

3. ¿Conoce alguien cuántas personas están usando los sistemas de la organización?

Le interesa a alguien lo que ellos hagan o si tienen acceso o no a los sistemas?

4. ¿Sufrió la organización con el último ataque de virus? Cuántos ocurrieron el último

año?

5. ¿Cuál es la información crítica de la organización? Sabe la administración dónde la

organización es más vulnerable?

6. ¿Está la gerencia preocupada de que la información confidencial de la compañía

pudiera filtrarse?

7. ¿Han sido revisados alguna vez los sistemas de seguridad por un tercero?

8. ¿Está la seguridad de las TI en la agenda regular de la gerencia?

Algunas preguntas para la Alta Gerencia

Page 104: Clases para el final

El Gobierno de TI, resumido

Objetivo

• Entender la importancia estratégica de TI

• Asegurar que la organización pueda sostener sus operaciones, y

• Asegurar que puede implementar las estrategias requeridas para extender sus actividades en el futuro

Meta

• Asegurar que las expectativas acerca de las TI son satisfechas, y el riesgo atenuado.

Posición

• Provee la estructura para facilitar la definición de objetivos globales, la indicación del método para la obtención de esos objetivos, y la manera por el cual el desempeño será monitoreado.

Page 105: Clases para el final

Evaluación de apreciación conceptual

Instrucciones: Forme equipos por afinidad, no mayores a 4

alumnos. Identifique y describa una organización guía (de

preferencia en la que alguno de los miembros esté

actualmente trabajando) y formule su posición

consensuada, en torno a lo solicitado…..

Tiempo: 40 minutos.

Page 106: Clases para el final

Autoevaluación inicial IT.Gov…

Importancia* Influencia* Total

a. Costo de la utilización efectiva de las IT

b. Utilización efectiva de las IT para producir crecimiento

c. Utilización efectiva de las IT para el máximo aprovechamiento de los activos

d. Utilización efectiva de las IT para ganar flexibilidad empresarial

* 1-ninguna, 5-muy/mucha

1. Nuestros directivos pueden describir con detalle el IT-Governance de la organización. Grado*

2. Nuestro IT-Governance fue diseñado de forma activa y no mediante acciones descoordinadas.

3. Nuestro IT-Governance es estable y ha sufrido pocos cambios en los años recientes.

4. Los gerentes NO-IT reciben asesoramiento con el objetivo de que puedan seguir las directrices

establecidas.

5. Hay un número muy reducido de objetivos de negocio claves que dirigen el diseño del IT-Governance.

6. Tenemos unos procesos de excepciones rápidos y bien definidos.

7. El IT-Governance tiene un(os) claro(s) propietario(s) y existen indicadores de medida del éxito.

8. Los sueldos, los incentivos y el IT-Governance están en concordancia.

9. Tenemos un IT-Governance efectivo en la totalidad de la organización y en concordancia con los objetivos

de negocio.

10. Nuestro director de SI podría ausentarse dos meses y nuestro IT-Governance seguiría funcionando

correctamente.

Page 107: Clases para el final

1. ¿Cuál de los arquetipos de IT.Gov se practica en su

empresa?. Describa un caso que lo sustente.

2. ¿Cuáles son los tres mecanismos comunes de IT.Gov

más utilizados en su empresa?. Describa un caso por

cada uno de ellos.

Describa y sustente ¡¡¡

Page 108: Clases para el final

Responda ¡¡¡ (utilice estimaciones cuantitativas en sus respuestas)

a) ¿Cuántos directivos consideran que los asuntos relacionados con las

TIC corresponden exclusivamente al departamento TI?

b) ¿Cuál es el retorno de las inversiones en TI en su empresa?

c) ¿Es claro el propósito de las TI en su organización?

d) ¿Están los usuarios, satisfechos con la calidad del servicio de TI?

e) ¿La infraestructura y los recursos disponibles de TI son suficientes

para lograr los objetivos estratégicos de la organización?

f) ¿Cuánto tiempo se necesita para tomar decisiones importantes

respecto a TI?

g) ¿El esfuerzo y las inversiones relacionadas con TI, son transparentes?

h) ¿Cuánto del esfuerzo TI se dirige a solucionar problemas en lugar de

permitir mejoras en el negocio?

Page 109: Clases para el final

Nelly Reyes

GOBIERNO

DE LAS TECNOLOGIAS DE INFORMACIÓN

Page 110: Clases para el final

Evolución de las Empresas y del Rol de TI

en las OrganizacionesNelly Reyes I.

Page 111: Clases para el final

Evolución de las Organizaciones

Page 112: Clases para el final

Al final, la nueva economía no está en la tecnología, ya seaésta el microchip o la reden la mente humana.

global de telecomunicaciones. Está

Alan Webber

Alan Webber, ¿Qué es tan nuevo acerca de la nueva economía?,Harvard Business Review, 1993.

Page 113: Clases para el final

Escenario actual

•••••

Globalización de la Economía

Velocidad del cambio

Rápido y fácil Acceso a la Información

Innovación

Obsolescencia de los esquemas deproducción

Empowerment

Page 114: Clases para el final

Escenario actual

Gestión en la era de la información

• Lo importante ahora es la gestión deactivos Intangibles y su capacidad de

loshacer,

loo

o

o

o

o

que nos permite:Desarrollar relaciones de lealtad Introducir

productos por segmentos Producir según

especificaciones de calidad Motivar y

movilizar habilidades

Aplicar tecnologías innovadoras

Page 115: Clases para el final

Escenario actual

CÓMO NACEN LAS EMPRESAS

••

La base de cualquier empresa, es su fundador

El fundador determina las reglas de la empresa como colaborará su personal

y la forma

El fundador ejerce una influencia dominante y cohesiva enla organización

Con el transcurso del tiempo, la empresa crece.

o La influencia del fundador en la conducta de losempleados, prácticamente desaparece.

o Los empleados ahora son influidos por otras personas con otras ideas (niveles medios).

Page 116: Clases para el final

ORGANIZACIONES AYERDE

Escenario economía cerrada

Compañías orientadas a producir un producto o servicio.

Mercado con capacidad de absorber a todos.

Comercialización y venta fácil.

Page 117: Clases para el final

ORGANIZACIONES TRADICIONALES

•••••••••

Deseo de Estabilidad

Múltiples Niveles Administrativos

Reducción de riesgos

Toma decisiones lenta, central.

Respuesta al cliente tardada

Miembros especialistas

Importa jerarquía, control

Tamaño grande, inflexibilidad

Medio comunicación: Papel

Page 118: Clases para el final

ORGANIZACIONES DE HOY

Escenario de una economía abierta

Compañías orientadas a servir al cliente

Entorno altamente competido.

Comercialización y venta claves para la supervivencia.

Page 119: Clases para el final

ORGANIZACIONES MODERNAS

•••••••••

Dinámicas

Plana, esfera de comunicaciones

Explota nuevas oportunidades

Información disponible para todos.

JIT en la Información

Miembros con conocimiento/autodirección.

Autoridad y mando circular. (Trabajo en equipo)

Esbeltas

Medio de comunicación: Electrónicos.

Page 120: Clases para el final

ORGANIZACIONES MODERNAS

LA EMPRESA 3-D

•••

Geográficamente Dispersos

Gerenciamiento Distribuido

Organizados Diversamente

El concepto de organización centralizada, homogénea y jerárquica no es aplicable hoy en día. Inevitablemente las organizaciones deben estar unidas por tecnología y una administración operacional.

Page 121: Clases para el final

LA EMPRESA 3-D

El uso de la Tecnología es mandatorio

La Dispersión es manejada a través de links infraestructura para compartir información

electrónicos y una

La Decisiones distribuidas dependen de la rápida generación ydiseminación de la información. Información de: operaciones locales, prioridades corporativas, condiciones del mercado las otras unidades de negocios, proveedores y usuarios

La Diversidad es manejada por una continua comunicación yherramientas de colaboración y la modularizacion que debentener las tecnología para adaptarse al mercado local.

Page 122: Clases para el final

LA EMPRESA 3-D

• El crecimiento por demanda de información en los negocioshace que se necesita respuestas rápidas

• Procesos lentos en gestión de planeamiento y gestión operacional, simplemente no deben ocurrir

Page 123: Clases para el final

LA EMPRESA 3-D

En cuanto a sus productos y/o servicios:

• ¿Es la compañía capaz de entregar sus productosservicios mas rápido que sus competidores?

o

• ¿Suministran el producto o servicio en la fechaentrega prometida?

¿Es la compañía capaz de ofrecer soporte del producto o servicio después de la venta?

de

• Ofrecen una amplia variedad de productos o serviciosa sus clientes?

Page 124: Clases para el final

LA EMPRESA 3-D E IT

• Los vastos requerimientos de información están haciendoque los departamentos de sistemas cambien su enfoque

• Los limites entre lo que es IT y el resto de la empresa estándesapareciendo pues ahora las unidades de negocios debentrabajar juntos para implementar un proyecto

• La responsabilidad se comparte. Las gerencias debenconocer las capacidades que IT puede dar

• Conocer el negocio debe ser una necesaria competencia dela gente de IT

Page 125: Clases para el final

LA EMPRESA 3-D E IT

• Los negocios actualmente necesitan de gente en IT conmucha capacidad de poder orquestar y sintonizar lasnecesidades corporativas, de la división y de losdepartamentos a fin de poder proporcionar suficienteinformación a los usuarios, proveedores, clientes y otrasfuentes de recursos.

IT debe organizarse de tal forma que pueda brindar sus servicios, cuando sea necesario, donde sea necesario y con el ancho de banda que se necesite.

Page 126: Clases para el final
Page 127: Clases para el final

Strategic

Operational levelDay to Dayoperation

Tactical levelMedium termdecisions

Strateg

level

Long termdecisions

Así apareció la división jerárquica en tres niveles, la gerencia, los mandos medios y los operadores.

Page 128: Clases para el final

y la divisiónproducción,

funcional con funciones como marketing,distribución, administración y finanzas.

Page 129: Clases para el final
Page 130: Clases para el final

La Empresa 3-D y Organización

El nuevo modelo de negocios: Un corto ciclo innovador tanto de conceptos,

productos y del propio modelo de organización

La mayor sensibilidad ante los cambios permanentes del mercado combinada con la mayor velocidad de respuesta.

La total orientación de todo el modelo organizacional hacia la solución de las necesidades de los clientes con nombre propio

Page 131: Clases para el final

IT DOES NOT MATTER??

• Nicholas Carr, de Harvard Business Review escribió unartículo “TI no importan”

• ...Porque todas las empresas pueden comprar TI en elmercado,

• ...porque cualquier ventaja obtenida por una compañíapuede ser fácilmente copiada por otra compañía,

Page 132: Clases para el final

IT DOES NOT MATTER??

• ...porque TI es ahora un comodity basado en estándares(como Internet) que cualquier compañía puede usar

• ...no es ya un factor diferenciador en el desempeño de unacompañía

Page 133: Clases para el final

Evolución del Rol de las TI en lasOrganizaciones

Page 134: Clases para el final

Evolución del Rol de las TI

Cual es la futura dirección de informática• De acuerdo con Nicholas Carr, autor de

“The Big switch”, publicado en enero de2008, la industria de TIC está ahora en uncambio de paradigma enorme donde lasempresas se desplazarán desde el caropersonal profesional de TI y las costosasinfraestructuras, a menos personal de TI yobtener sus servicios a través de Internetaccesando a los proveedores comoGoogle, Microsoft, etc.. Esto se denomina“Computación en la nubes."

Estos servicios se prestarán en servidores que son accesibles a través de las tecnologías de Internet y la web.

Page 135: Clases para el final

Evolución del Rol de las TI

Cual es la futura dirección deinformática

De acuerdo con Bill Gates y Ray Ozzie, en memos publicados el 30 de octubre de2005:

Microsoft debería orientarse a abrazarla web y servicios web: “Pues a laspersonas no les interesara cómofunciona su computador sino quesimplemente quieren sus resultados“

Estos servicios se prestará en servidores que son accesibles a través de Internety las tecnologías de la web.

Page 136: Clases para el final

Evolución del Rol de las TI

Page 137: Clases para el final

Evolución del Rol de las TI

• En 1968, un Ing. Intel llamado Ted Hoff inventóel microprocesador impulsando avancestecnológicos que han transformado el mundoempresarial.

Las TI permitieron operaciones de empresas individuales, unen cadenas de suministro lejanas, y permite enlazar a las empresas con sus clientes.

Page 138: Clases para el final

Evolución del Rol de las TI

• Veinte años atrás la mayoría de los ejecutivos veían a lacomputadora como una herramienta perteneciente a losempleados de más baja posición en la empresa. Latecnología de información no estaba incorporada en supensamiento estratégico

• Actualmente, éste fenómeno es tratado rutinariamente porlos gerentes de más alto nivel. Analizan cómo usar TI paraubicarse en una posición competitiva frente al resto.

Page 139: Clases para el final

Evolución del Rol de las TI

Tendencias de Gastos en TI

Page 140: Clases para el final

Evolución del Rol de las TI

Pensamiento Ejecutivo

• Los altos ejecutivos, por mucho tiempo habían vistoque las TI eran automatizadoras de tareas repetitivas,empezaron a hablar con frecuencia del valorestratégico de las TI.De cómo podían usar las TI para obtener ventajascompetitivas y de la digitalización de su modelo denegocio.

• Incluso incluyeron al CIO en su grupo de gestióndirectiva

Page 141: Clases para el final

Evolución del Rol de las TI

Pensamiento Ejecutivo

• Muchas empresas contrataron empresas de consultoríaestratégica para proporcionar nuevas ideas sobre cómo sacarpartido a sus inversiones en TI para la diferenciación yventajas.

Page 142: Clases para el final

Evolución del Rol de las TI

Las TI comienzan a transformarse en:

Recursos potencialmente estratégicos a factoresproducción.

de

Los costos de hacer negocios que deben ser pagados portodos pero que no proporcionan distinción a nadie.

Page 143: Clases para el final

Evolución del Rol de las TI

Cambio en Pensamiento Ejecutivo

Se basó en el hecho de que al incrementar la potencia yubicuidad de las TI, su valor estratégico también sehabía incrementado.

Page 144: Clases para el final

Evolución del Rol de las TI

Correcciones

Pero este razonamiento es erróneo.

Lo que hace a un recurso estratégico es su su ubicuidad.

• escasez, no

Las funciones de las TI (almacenar, procesar y•

transportar datos) están disponibles universalmente ytodas las organizaciones se las pueden permitir. Soncommodities.

Los costos TI son necesarios para llevar a cabo•

negocios y no proveen ningún tipo de ventajacompetitiva.

Page 145: Clases para el final

Evolución del Rol de las TI

Evolución

• Las TI son las últimas de un grupo de tecnologías quehan cambiado la industria en los dos últimos siglos: lamáquina de vapor, el tren, el telégrafo, el teléfono, etc.

• Durante un tiempo, cada una de ellas supusieronoportunidades para aquellos que iban por delante.Pero al incrementarcosto, dejaron de ser

su disponibilidad y disminuir suestratégicas.

Page 146: Clases para el final

Evolución del Rol de las TI

DESVANECIMIENTO DE VENTAJAS

Dos tipos de tecnología:

•Las tecnologías propietarias (por ejemplo: un medicamento, un proceso productivo, un material de embalaje) sí son fuente de ventaja competitiva sostenible.Las tecnologías propietarias pueden ser de una solacompañía.

Un fabricante industrial posee una forma innovadora deutilizar una tecnología de proceso que los competidoresles resulta difícil de replicar. Siempre que estén

protegidas, las tecnologías propietarias pueden serventajas estratégicas a largo plazo.

Page 147: Clases para el final

Evolución del Rol de las TI

Desvanecimiento de ventajas

• Las tecnologías infraestructurales (vías del tren,teléfonos), por el contrario, adquieren mayor valoren función de que se compartan y distribuyan enmayor medidaaislada.

y no cuando se usan de manera

Page 148: Clases para el final

Evolución del Rol de las TI

Desvanecimiento de ventajas

Una de las características más importantes de lastecnologías de infraestructura es la rapidez con la que seinstalan:

• Primero ocurre una inversión masiva (etapa inicial )que provoca la caída de los precios y

• Segundo rápidamente se convierte en un recursodisponible para todos (etapa de uso generalizado)

Page 149: Clases para el final

Evolución del Rol de las TI

Desvanecimiento de ventajas

InformaciónFerrocarriles Generación eléctrica Tecnología de la

Etapa inicial

Etapa de uso generalizado

Obs.

1841 1889 1990

1876 1920 2002

Se hace masivo cuando las Se utilizó como medida elredes o cables número de usuarios dese incorporan a nivel Internet.familiar en campos yciudades

Page 150: Clases para el final

entos de

Evolución del Rol de las TI

Desvanecimiento de ventajas

• La ventana para obtener ventajas de unatecnología de infraestructura está sólobrevemente abierta

Por ejemplo, las vías del ferrocarril, líneas telegráficas, líneas de energía, todo fue colocado en un frenesí tan intenso en el caso las líneas de ferrocarril que costó cividas de trabajadores.

de

Page 151: Clases para el final

Evolución del Rol de las TI

Hipótesis errada

El error en el que caen los ejecutivos es suponer que•

las oportunidades de ventaja competitiva estarándisponibles indefinidamente.

La oportunidad de obtener ventajas competitivas detecnologías infraestructurales existe durante un muycorto periodo de tiempo.

Las tecnologías infraestructurales tienen influencia

sobre la competitividad. Solo que pasan a tenerinfluencia únicamente a nivel macroeconómico (anivel de país o de sector industrial, por ejemplo).

Page 152: Clases para el final

Evolución del Rol de las TI

La comoditización de las TI

Sin duda alguna, las TI tienen todo a favor tecnologías infraestructurales.

de ser•

Tienden rápidamente hacia la comoditización.

Las TI son un mecanismo de transporte, por lo

• que suvalor es mucho mayor cuando se comparten quecuando se usan aisladamente.

La mayoría de los procesos y actividades de negocio están metidos en las TI, estos también son replicables.

Internet ha supuesto la aparición de un canal perfecto para entregar las aplicaciones.

Page 153: Clases para el final

Evolución del Rol de las TI

La Comoditización de las TI

• Las TI al ser altamente replicables, condenaaplicaciones propietarias a la obsolescencia económica.«Las empresas pueden comprar aplicaciones yahechas»

No sólo el software se puede repetir «La mayoría de las actividades y procesos de negocio han llegado a ser incorporados en el software.»

La llegada de Internet proporciona un canal de entrega para aplicaciones genéricas. «Las empresas están comprando "Servicios Web" por parte de terceros, similar a la compra de energía eléctrica o de servicios de telecomunicaciones. »

Page 154: Clases para el final

Evolución del Rol de las TI

La comoditización de las TI

Compañías como:

• American Airlines, con su sistema de reservas Sabre.

•••

Federal Express con su sistema de rastreo de paquetes.

Mobil Oil con su sistema automático de pago Speedpass.

Las subastas de eBay en Internet

Usaron TI para obtener ventajas operativas y de marketing,ganando ventajas a través de la implementación deinnovaciones de TI.

Y ventajas adicionales, como las economías de escala y reconocimiento de marca, son más duraderas que la ventaja tecnológica original.

Page 155: Clases para el final

Evolución del Rol de las TI

La comoditización de las TI

Tener o desarrollar IT por sí sola no suele brindarventaja estratégica

Sin embargo, a partir de innovación en IT , se puede desarrollar Ventaja Estratégica

Caso Wal-Mart : Reporte Ventas “al minuto” para elminorista y proveedores. Logística.

Caso Dell : “Comoditización” de PC's a servidores,almacenamiento y servicio

Page 156: Clases para el final

Evolución del Rol de las TI

La comoditización de las TI

El despliegue de la industria definal que del principio debido a:

las TIC está más cerca del

1. La potencia de las TIC ya es mayor que la capacidadque necesitan los procesos de negocio.

Los precios las hacen alcanzables a cualquiera.

Ya se tiene más capacidad de distribución en Internet que necesidades.

Los propios vendedores corren hacia la posición de proveedores de commodities.

La burbuja inversora ha estallado.

2.3.

4.

5.

Page 157: Clases para el final

Evolución del Rol de las TI

La comoditización de las

TI

La realidad: La TI, es un recurso disponible al alcancetodosde cualquier empresa. Su uso se puede ver en

lados, razón por lo cual, este recurso, ya no forma partede una ventaja competitiva… «IT doesn't matter»

«El valor estratégico de un recurso es mayor cuando la escasez de su uso es mayor.»

• La empresa podrá mantener una posición estratégicaen el mercado, siempre y cuando tenga algo que lasdemás no tienen o haga algo que el resto no puede.

Page 158: Clases para el final

Evolución del Rol de las TI

La comoditización de las TI

• La Tecnología de la Información es más bien vistacomo la última de las tecnologías que segeneralizaron y transformaron la industria en estosúltimos dos siglos.

• Algunos descubrimientos en su etapa de desarrolloinicial tenían un muy alto valor estratégico y con eltiempo y el comienzo de su uso generalizado suvalor estratégico iba disminuyendo hastadesaparecer

Page 159: Clases para el final

Evolución del Rol de las TI

De la estrategia ofensiva a la defensiva

Del pasado, la lección es clara: cuando un•

recurso es imprescindible para competir, peroinútil para la estrategia, los riesgos que generason mucho mayores que las ventajas queprovee.

Los problemas potenciales de las TI son•

numerosos: técnicos, obsolescencia, malosproveedores, seguridad, incluso terrorismo.

El mayor riesgo es uno: el gasto excesivo.

Es necesario más rigor a la hora de evaluar losretornos de la inversión, más creatividad a lahora de explorar soluciones más económicas ymás sencillas y una apertura al outsourcing

Page 160: Clases para el final

Evolución del Rol de las TI

De la estrategia ofensiva a la defensiva

El caso más sencillo es el mercado de los PCs y las•

aplicaciones ofimáticas. En muchos casos, el gasto sebasa en las estrategias de los vendedores.

El espacio deen

almacenamiento, uno de los gastos•

principales el área de TI, algunas estimacionescifran en un 70% el almacenar spam, ficheros MP3 yotro tipo de contenidos que poco tienen que ver con laproductividad empresarial.

Posponer la inversión en TIC es una buena fuente deahorros, de forma que las tecnologías sean adquiridascuando ya han entrado en su fase de comoditización.

Page 161: Clases para el final

Evolución del Rol de las TI

De la estrategia ofensiva a la defensiva

En general, el gasto en TI tiene poca relación con los•

resultados financieros. Algunos estudiosdemuestran que las empresasaquellas que menos gasto en TI

más rentables sonrealizan (las 25 más

rentables gastaron de media un 0,8% frente alestándar del 3,7%).

La gestión de las TI debería convertirse en algo•

aburrido. La clave para el éxito empresarial no seencuentra en la búsqueda agresiva de ventajas, sinoen la adecuada gestión de los riesgos y los costes.

Page 162: Clases para el final

Evolución del Rol de las TI

Nuevas reglas para la gestión de las TI

• Gastar menos

• Seguir, no liderar

• Enfocarse en las vulnerabilidades, nooportunidades

en las

Page 163: Clases para el final

Evolución del Rol de las TI

Nuevas reglas para la gestión de las TI• Gastar menos.

Estudios han comprobado que las compañías con mayor capital invertido enTI, rara vez poseen los mejores resultados financieros. En general, ocurre locontrario.

• No adelantarse con lo nuevo, seguir de cerca sudesarrollo en su puesta en práctica.

Cuanto más se espera para comprar recursos tecnológicos nuevos e innovadores, menores serán los riesgos de comprar recursos defectuosos destinados a la obsolescencia. Debe encontrarse el punto justo.

Concentración en las vulnerabilidades de la compañía con respecto a la tecnología más que en las oportunidades que ésta ofrece.

Es inusual que la empresa gane una ventaja competitiva a través del uso distintivo de una tecnología de infraestructura. Pero una breve interrupción de su disponibilidad puede ser muy perjudicial.

Page 164: Clases para el final

Evolución del Rol de las TI

RIESGOS OPERACIONALES ASOCIADOS A LAS TI

• Fallas técnicas, obsolescencia, interrupciones del servicio,brechas de seguridad, etc. Una interrupción de TI puedeparalizar la capacidad de una compañía para hacer susproductos, ofrecer sus servicios, y conectar con sus clientes,y su reputación.

El almacenamiento de datos, representa más de la mitad de los gastos en muchas empresas. Se debe restringir la capacidad de los empleados para guardar archivos de manera indiscriminada e indefinidamente.

Page 165: Clases para el final

Evolución del Rol de las TI

RIESGOS

OPERACIONALES ASOCIADOS A LAS TI

Dell y Wall-Mart permanecen bien lejos de la tecnologíade punta, esperando para hacer las compras hasta quelos estándares y las mejores prácticas se solidifiquen.

Dejan que sus competidores impacientes experimenten altos costos, y luego barrer delante de ellos, gastando menos y obteniendo más.

Page 166: Clases para el final

Evolución del Rol de las TI

CAMBIO EN LAS GESTIÓN DE TI

• Las empresas deben gestionar susinfraestructuras de TI para reduciren requerimientos de inversión decapital y costos operativos.

A medida que las empresas dependen de plataformas de TI para sus operaciones, deben concentrarse en las vulnerabilidades y administrar más agresivamente la fiabilidad y la seguridad.

Page 167: Clases para el final

Evolución del Rol de las TI

CAMBIO EN LAS GESTIÓN DE TI

Extraer valor de TI requiere, innovaciones en las prácticas empresariales

• Empresas que ponen TI en forma mecánica en sus negocios,sin cambiar sus prácticas de explotación de las nuevascapacidades sólo destruirá el valor económico de TI.

Muchas oportunidades para innovaciones en prácticas de negocios deberían incluir relaciones a largo plazo con otras empresas con capacidades y equipos complementarios.

No es la TI la que ofrece ventaja competitiva, sino comousarla efectivamente.

El potencial de la tecnología para diferenciar una empresa disminuye a medida que se convierte en accesible y asequible para todos.

Page 168: Clases para el final

Evolución del Rol de las TI

CAMBIO EN LAS GESTIÓN DE TI

El impacto económico de TI proviene de innovacionesincrementales en lugar de grandes iniciativas

• Las grandes iniciativas impulsadas por TI, soncomplicadas y costosas, requieren mucho tiempo

ejecutarlas y cargados de riesgos.para

• Para obtener ventajas competitivas se requiere conocermuy bien las fortalezas, debilidades, amenazas yoportunidades de la organización para incorporar deforma clave el uso de tecnologías de información en susoperaciones.

Page 169: Clases para el final

Evolución del Rol de las TI

CAMBIO EN LAS GESTIÓN DE TI

• Muchas veces los encargados de TI de las organizaciones,debido al afán de tener la mejor tecnología , lo último , lamejor calidad , se lanzan a la compra de estos productosdejándose llevar por la publicidad de los grandesvendedores de tecnología , cuando lo más racional seríaanalizar a conciencia qué es lo que la empresa necesitarealmente en cuanto a capacidad en TI y buscar diferentesprecios y alternativas para seleccionar así la opción óptima.

«Nicholas Carr deja en claro que quienes se ocupan de la tecnología de la información en las empresas, deben tener en cuenta que esa euforia de la TI ya no existe porque es un recurso disponible que está al alcance de cualquier empresa por la cual ya no forma parte de una ventaja competitiva.»

Page 170: Clases para el final

Evolución de los Sistemas

Page 171: Clases para el final

INTRODUCCIÓN

• El origen de los Sistemas de Información está íntimamenterelacionado con el origen de las organizaciones a tal puntoque un Sistema de Información no puede existir sino existeuna organización.

• Los Sistemas de Información han evolucionado conforme lohan hecho las empresas.

Page 172: Clases para el final

SistConj

aciónentes in ue

Que es un Sistemas de Información?

ema de Informunto de compon terrelacionados q

Capturan

la información para apoyar

Almacenan Procesan Distribuyen

Toma de decisiones Control Análisis Visión

de una institución. SIBC (Sistemas de Información Basados en Computadora)

Page 173: Clases para el final

Sistemas de Información

Page 174: Clases para el final

IMPORTANCIA DE LOS SI

• Industrias que no pueden sobrevivir sin uso extensivo deS.I.

o E-commerce (Amazon, eBay, Google, E-Trade, online universities: University of Phoenix)

o Compañías de servicios –Finanzas, Seguros, Estado,Viajes, Medicina, Educación.

o Cadenas comerciales: Walmart, Sears

o Manufactureras: General Motors, General Electric

TICs son la base para negocios en el siglo XXI•

Page 175: Clases para el final

IMPORTANCIA DE LOS SI

• Lo que una empresa desea hacer dentro de 5 añosdependerá de lo que sus sistemas puedan hacer

o Incrementar su mercado

o Convertirse en el productor de alta calidad o bajo costo

o Desarrollar nuevos productos

o Incrementar la productividad de los empleados

o Depende del tipo y calidad de información