clases para el final

Administración de Riesgos

Nelly Reyes I.

Contenido

Información, conceptos

Sistemas de Gestión de Seguridad de la Información

Activos de información y Análisis de Riesgos

Norma ISO 27001

Definición e implantación de controles

Desarrollo de política de Seguridad de la Información

INFORMACIÓNConceptos

Información

La información, junto a los procesos y sistemas que hacen

uso de ella, es un activo vital para el éxito y la continuidad

en el mercado de cualquier organización, y debe ser

protegida adecuadamente.

Ciclo de vida

La información puede ser:

» Creada

» Guardada

» Destruida

» Procesada

» Transmitida

» Utilizada (con fines adecuados e inadecuados)

» Corrompida

» Robada

» Perdida

Tipos de información

Impresa o escrita en papel

Guardada electrónicamente

Transmitida por correo o medio electrónicos

En videos corporativos

Publicada en la web

Verbal – en conversación

Información

Conjunto de datos organizados en poder de una entidad

que posean valor para la misma, independientemente de

la forma en que se guarde o transmita, de su origen o de

la fecha de elaboración

Clasificación de información

CATEGORIA DESCRIPCIÓN Ejemplo Documento/Registro Marcado Control Físico/Administrativo Reproducción Distribución Destrucción/Eliminación

PUBLICA

La información que puede ser

ampliamente distribuida sin

causar daños a la organización,

sus empleados y stakeholders.

El departamento de Gestión de

Seguridad de la Información

debe pre-aprobar el uso de esta

clasificación.

Esta información puede ser

divulgada a personas ajenas a

la organización.

materiales de marketing autorizados

para su publicación, tales como

anuncios, folletos, páginas Web,

catálogos, anuncios de vacantes.

Ninguno Ninguno Ilimitado Sin restricciones Reciclaje/Basura

INTERNA

La información cuya divulgación

no autorizada, sobre todo fuera

de la organización, sería

inadecuado e inconveniente.

Su divulgación fuera de la

empresa requiere autorización

de la administración.

La mayoría de la información

empresarial cae en esta categoría.

memorandos, boletines internos,

materiales de capacitación, políticas,

procedimientos de operación,

instrucciones de trabajo, guías,

directorios telefónicos y de correo

electrónico, información promocional

(antes de autorizar la liberación),

opciones de inversión, informes de

la productividad, informes

disciplinarios, contratos, acuerdos

de nivel de servicio, páginas intranet.

"SÓLO PARA USO

INTERNO" se aplicará a la

esquina inferior izquierda

de cada página.

Autor: responsable de las

marcas adecuadas.

Usuario: responsable de

almacenamiento y control

de documentos.

Número limitado de

copias.

Solo pueden ser hechas

por los empleados, o

por los contratistas y

terceros que han

firmado un acuerdo de

confidencialidad

adecuados.

Interior: usar un sobre de correo

interno.

Externo: utilizar un sobre cerrado.

Electrónicos: uso del sistema de

correo interno.

Para la transmisión a las direcciones

de correo electrónico externo, es

necesario encriptación.

Fax: cuidar el número de FAX

Documentos en papel:

triturar.

Documentos electrónicos:

borrar o desmagnetización

medios magnéticos.

Enviar CDs, DVDs, discos

duros muertos, portátiles,

etc. a TI para su adecuada

disposición.

CONFIDENCIAL

Altamente sensible o

información valiosa, tanto

propietaria como personal.

No debe ser divulgada fuera de

la organización sin la

autorización explícita de un alto

directivo de nivel de director.

Las contraseñas y códigos PIN,

números de tarjeta de crédito y

débito, información personal (tales

como registros de los empleados,

números de Seguro Social), la

mayoría de los datos contables, otra

información de propiedad altamente

sensibles o valiosos.

"CONFIDENCIAL" Aplicar a la

esquina inferior izquierda de

cada página.

Autor: responsable de asegurar

que la información confidencial

se distribuye en estricta

necesidad de conocimiento .

Destinatario: responsable de

asegurar que la información

confidencial es cifrada y/o

mantenida bajo llave.

Se pueden hacer copias

sólo con el permiso del

autor o de quien éste

designe.

Presentar autorización

firmada.

Interior: usar un sobre cerrado dentro

de un sobre de correo interno.

Entregar personalmente si es

posible.

Externo: utilizar un sobre cerrado sin

formato. Entregar personalmente o

enviar por correo certificado,

mensajería, etc.

Electrónico: el uso del sistema de

correo interno. Encyrpt datos.

Fax: requiere la confirmación

telefónica de la recepción de una

página de prueba inmediatamente

antes de enviar el fax, y la

confirmación telefónica de la

recepción completa.

Documentos en papel: triturar

con una trituradora corte

transversal.

Documentos electrónicos:

borrar o desmagnetización

medios magnéticos. Enviar

CDs, DVDs, discos duros

muertos, portátiles, etc. a TI

para su eliminación adecuada.

SEGURIDAD DE LA

INFORMACIÓNConceptos

Seguridad de la Información

Amenazas: Nos acechan…

Robo de información

Sabotaje de datos

Entradas no autorizadas al sistema

Abuso interno

Denegación de Servicio

Virus, Troyanos, Gusanos

Fraude telefónico

Robo de material

¿Y qué hacemos habitualmente?

¡A quién va a interesarle mi información!

Tengo un Firewall, así que estoy protegido

Ya sería mala suerte que tuviese una Inspección

¡Lo que me interesa es que FUNCIONE YA!, después ya

veremos la seguridad…

¿Seguridad?

La Seguridad es un Proceso de Mejora Contínua

La Solución no es sólo Tecnológica

Cumplimiento Ley: Obligatoriedad, Multas

Estándares: ISO 27001, camino a seguir

Redes, Sistemas, Procesos… ORGANIZACIÓN

Visión de la Seguridad

SISTEMAS DE SEGURIDAD: Firewalls, IDS, IPS, Proxy, AntiSpyware, AntiSpam, AntiVirus,

VPNs, Control de Contenidos, etc.

DISEÑO: Topologías, Arquitecturas, Servicios

GESTIÓN Y OPERACIÓN: Procedimientos, Políticas

ESTÁNDARES: ISO27001, NTP 17799

LEGISLACIÓN: LPDP, Firma Digital,

Interoperabilidad

Implementar

Gestionar

Planificar

Probar

CONSULTORÍA IMPLEMENTACIÓN AUDITORÍA

Asegurando la información

» Secreto impuesto de

acuerdo con políticas de

seguridad.

» SINO: Fugas y

filtraciones de

información; accesos no

autorizados; pérdida de

confianza de los demás

(incumplimiento de leyes

y compromisos).

» Validez y Precisión de

información y sistemas.

» SINO: Información

manipulada, incompleta,

corrupta y por lo tanto mal

desempeño de funciones.Prevenir

Divulgación no autorizada de

Activos de Información.

Prevenir

Cambios no

autorizados en

Activos de

Información.

Prevenir

Destrucción no autorizada de

Activos de Información.

» Acceso en tiempo correcto y confiable

a datos y recursos.

» SINO: Interrupción de Servicios o Baja

Productividad.

Seguridad de la información

En la gestión efectiva de la seguridad debe tomar parte

activa toda la organización, con la gerencia al frente,

tomando en consideración también a clientes y

proveedores de bienes y servicios.

El modelo de gestión de la seguridad debe contemplar

unos procedimientos adecuados y la planificación e

implantación de controles de seguridad basados en una

evaluación de riesgos y en una medición de la eficacia de

los mismos.

Problema

¿Solución?

¿Super Poderes?

¿Balas de Plata?

Solución

Un mapa

– Qué soluciones

– En qué orden

– Apoyadas en qué políticas

– Con qué procedimientos

– ...

SGSIConceptos

Sistema de Gestión de la Seguridad de la Información

Es la herramienta de la organización para dotarse en cada

momento de las medidas de seguridad oportunas, que

proporcionen los niveles de protección de la información

que en cada momento sean necesarias, de la forma más

eficiente, en un entorno de mejora continua.

SGSI

Proceso sistemático, documentado y conocido por toda la

organización, desde un enfoque de riesgo empresarial.

Ayuda a establecer políticas y procedimientos en relación

a los objetivos de negocio de la organización, con objeto

de mantener un nivel de exposición siempre menor al nivel

de riesgo que la propia organización ha decidido asumir.

Con un SGSI, la organización conoce los riesgos a los que

está sometida su información y los asume, minimiza,

transfiere o controla mediante una sistemática definida,

documentada y conocida por todos, que se revisa y

mejora constantemente.

Fases del SGSI

PDCA (Plan, Do, Check, Act)

– Plan: Establecer el SGSI

– Do: Implementar y operar el SGSI

– Check: Monitorear y revisar

– Act: Mantener y mejorar.

Establecer el SGSI

Definir una

política del SGSI

Definir la

metodologia de

evaluación del

riesgo

Identificar el

riesgo

Aprobación por la

dirección de los

riesgos residuales

propuestos

Seleccionar

objetivos de

controles

Identificar y

evaluar las

alternativas de

tratamiento del

riesgo

Analizar y Evaluar el riesgo

Autorización de la Dirección para implementar y operar un SGSI

De

cl

ar

ac

ión

de

ap

lic

ab

ilid

ad

Implementar y operar el SGSI

Formular un plan de tratamiento de riesgo

Implementar el plan de tratamiento de riesgo.

Implementar los controles

Formación y concienciación

Gestionar las operaciones y recursos del SGSI.

Implementar los procedimientos y controles que permitan

una pronta detección de y respuesta a incidentes de

seguridad.

Monitorear y revisar

Revisar el SGSI

Medir la eficacia de los controles

Revisar riesgos residuales

Registrar acciones y eventos

Realizar auditorias internas

Mantener y mejorar

Implementar las mejoras identificadas.

Tomar las acciones correctivas y preventivas apropiadas

Comunicar los resultados y acciones a los stakeholders.

Asegurar que las mejoras logren sus objetivos señalados.

Fases del SGSI

Implementación y certificación

ANÁLISIS DE RIESGOSConceptos

Análisis de Riesgos

Definición de Activos

El análisis de riesgo.

Los cursos de acción posibles.

La declaración de intenciones de la Dirección


Un buen enfoque o metodología de gestión de riesgos debe considerar 4 fases:

1. Inventario de activos (valor del activo),

2. Análisis de riesgos (determinar la probabilidad de ocurrencia del riesgo),

3. Evaluación del riesgo (para determinar el nivel del riesgos efectivo y saber si es o no tolerable)

4. Tratamiento del riesgos que es donde usualmente decidimos afrontar el riesgo y consecuentemente

seleccionamos los controles a implementar

ACTIVOS DE INFORMACIÓNConceptos

Activos de Información

Activo es aquello que tiene algún valor para la

organización y debe protegerse.

Un activo de información es aquel elemento que contiene

o manipula información.

Activos de información

Archivos y bases de datos

Contratos y acuerdos

Documentación del sistema

Manuales de los usuarios

Material de formación

Aplicaciones

Software del sistema

Equipos informáticos

Equipo de comunicaciones

Servicios informáticos y de comunicaciones

Utilidades generales (calefacción, energía, iluminación y aire acondicionado)

Las personas

ANALISIS DE RIESGOSConceptos

¿Qué es Riesgo?

Amenaza: Algo que tiene el potencial de dañar a un activo.

Vulnerabilidad: Una debilidad en el activo que puede ser

explotada por una amenaza.

Riesgo: La posibilidad de que una amenaza explote una

vulnerabilidad de un activo y cause su daño o perdida

Amenazas

Usuario con grandes

conocimientos

Robo o sabotage

Virus

Fallo de red o

de sitema

Falta de

documentacionFallo de seguridad

fiisica

Desastres

naturales e

incendios

Riesgo

Amenazas

Vulnerabili

dades

Explotan

Riesgo

Valor del

activo

Requisitos

de seguridad

Activo de

informaciónControles

Analisis de Riesgo

Activo de

Información

Riesgo intrínseco

Amenaza Vulnerabilidad

Riesgo residual

Control

tieneExpuesto a

Explota

Aplica

Queda

Análisis de Riesgo

Matriz CID

Confidencialidad Baja Media Alta

Integridad B M A B M A B M A

Disponibilidad

Baja 3 4 5 4 5 6 5 6 7

Media 4 5 6 5 6 7 6 7 8

Alta 5 6 7 6 7 8 7 8 9

Matriz de valoración del activo


Severidad de amenaza y vulnerabilidad

Severidad Amenaza Baja Media Alta

Severidad Vulnerabilidad B M A B M A B M A

Valor del Activo

3 3 6 9 6 12 18 9 18 27

4 4 8 12 8 16 24 12 24 36

5 5 10 15 10 20 30 15 30 45

6 6 12 18 12 24 36 18 36 54

7 7 14 21 14 28 42 21 42 63

8 8 16 24 16 32 48 24 48 72

9 9 18 27 18 36 54 27 54 81


Probabilidad ocurrencia

Valor Explicación Ejemplo

1 Nunca No en los ultimos 3 años

2 Raro Una vez al año

3 Periodico Una vez por trimestre

4 Regular Una vez cada 15 días

5 Frecuente Una vez a la semana

Impacto = Valor tabla severidad vulnerabilidad y amenza x probabilidad

Tratamiento del Riesgo

Nivel de

riesgo no

aceptable

Nivel de

riesgo

aceptable

Nivel de

riesgo

tolerable

Riesgos aceptados y asumidos

(No se tratan)

Asumir

Eliminar

Mitigar

Transferir

Mitigar riesgos

Seleccionar

Control

Implantar

Control

Verificar

Control

Establecer

Metricas

RiesgoRiesgo

Ejercicio: Análisis de Riesgos

Instrucciones:

En grupos, identifique 5 Activos de información de su

organización, formule un análisis de riesgos a los que

estarían sometidos.

27000La Norma

ISO 27000

La serie de normas ISO/IEC 27000 es una lista de

estándares dedicados a seguridad.

La serie 27000 es un conjunto de estándares que

proporcionan un marco de gestión de la seguridad de la

información utilizable por cualquier tipo de organización,

pública o privada, grande o pequeña.

Evolución ISO 27001

ISO 27001

Orientada a aspectos organizativos.

“Organizar la seguridad de la información”

» requerimientos para establecer, implementar, operar, monitorear,

revisar, mantener y mejorar un SGSI documentado dentro del

contexto de los riesgos comerciales generales de la organización.

Pone/demuestra “Calidad” en la seguridad de la

Información.

ISO 27001

Realizar los cambios

necesarios para maximizar

el rendimiento del SGSI

Diseño del SGSI

Implantación y

operación de los

controles

Revisar y evaluar la

eficiencia y eficacia

del SGSI

Familia ISO 27000

... Y en fase de desarrollo

ISO/IEC 27007 - Guía de auditoría de un SGSI,

ISO/IEC 27008 - Guía de auditoría de los controles,

ISO/IEC 27010 - Seguridad de la información en comunicaciones inter-sectoriales,

ISO/IEC 27012 - Requisitos y directrices de servicios de e-Administración,

ISO/IEC 27013 - Implementación integrada de ISO/IEC 27001 y de ISO/IEC 20000-1,

ISO/IEC 27014 - Guía de gobierno corporativo de la seguridad de la información,

ISO/IEC 27015 - SGSI para organizaciones del sector financiero y de seguros,

ISO/IEC 27031 - Continuidad de negocio en TIC,

ISO/IEC 27032 - Guía relativa a la ciberseguridad,

ISO/IEC 27033 - Dedicada a la seguridad en redes,

ISO/IEC 27034 - Seguridad en aplicaciones informáticas,

ISO/IEC 27035 - Gestión de incidentes de seguridad de la información,

ISO/IEC 27036 - Seguridad de outsourcing,

ISO/IEC 27037 - Identificación, recopilación y preservación de evidencias digitales.

Los Recursos de TI

Las aplicaciones incluyen tanto sistemas de usuario automatizados como

procedimientos manuales que procesan información.

La información son los datos en todas sus formas, de entrada, procesados y generados

por los sistemas de información, en cualquier forma en que sean utilizados por el

negocio.

La infraestructura es la tecnología y las instalaciones (hardware, sistemas operativos,

sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio

donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de

las aplicaciones.

Las personas son el personal requerido para planear, organizar, adquirir, implementar,

entregar, soportar, monitorear y evaluar los sistemas y los servicios de información.

Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se

requieran.

Nelly Reyes I.

Administración de

Riesgos

GOBIERNO

DE LAS TECNOLOGIAS DE INFORMACIÓN

Nelly Reyes

Tópicos a tratar

1. Introducción, el escenario actual

2. La Globalización y las TI

3. Esquema de Gobierno de TI

4. Alineamiento de TI & Valor Agregado

5. Medición del Desempeño

6. Gestión del Riesgo

7. Seguridad

El impacto cultural será diferente según la conciencia que tenga de su propia identidad.

¿Cómo entiende la globalización?

Una nueva realidad en las organizaciones

Dada la incertidumbre y turbulencia del contexto, las

organizaciones deben redefinir sus variables para

responder con competitividad.

Análisis sistémico de las variables:

» Estrategia,

» Estructura,

» Recursos humanos y cultura.

Estrategia

En los ’65, estrategia como coalición: Política.

’75, fijación de objetivos a LP: Planificación estratégica.

‘80, adaptación al entorno: Administración estratégica.

‘2k, el mundo es una construcción del hombre: Ventaja

competitiva.

Hoy, el mundo es una red de redes: Estrategia global.

Estructura

No existe una única mejor manera.

Tendencia a estructuras planas.

Flexibilidad organizativa y proyectizada.

Aplicando desburocratización.

Que piense globalmente y actúe localmente.

Bennetton?, IBM?, Coca Cola?.

Recursos humanos y cultura

Trabajo autoprogramable.

Trabajo genérico.

Nueva relación laboral: Nonaka.

Senge: la velocidad a la que aprenden puede ser la única

ventaja competitiva.

Las TIC, agente catalizador de la globalización

La brecha digital

Inclusión digital

Realidades

País Población Usuarios Internet % inclusión

Argentina 38,592,000 6,153,000 15.94%

Chile 16,267,000 4,300,000 26.43%

México 106,147,000 14,037,000 13.22%

Brasil 187,597,000 22,001,000 11.73%

Colombia 46,039,000 4,050,000 8.80%

Perú 27,947,000 3,229,000 11.55%

Cuba 11,367,000 150,000 1.32%

Nicaragua 5,483,000 125,000 2.28%

Paraguay 6,216,000 150,000 2.41%

Uruguay 3,455,000 680,000 19.68%

Pos País IAD

1 Sweden 0.85

43 Chile 0.58

50 Uruguay 0.54

54 Argentina 0.53

48 Costa Rica 0.52

62 Brasil 0.50

62 México 0.50

72 Venezuela 0.47

72 Panamá 0.47

78 Colombia 0.45

82 Peru 0.4493 Rep. Dominicana 0.42

95 Ecuador 0.41

99 Paraguay 0.39

103 Bolivia 0.38

103 Cuba 0.38

103 Guatemala 0.38

103 El Salvador 0.38

124 Honduras 0.29

134 Nicaragua 0.19

178 Niger 0.04

ÍNDICE DE ACCESO DIGITAL

El índice de acceso digital (IAD): Un

nuevo instrumento para medir el

acceso a la sociedad de la

información

Cambio de Paradigma; Organización

La comunicación en

tiempo real

La velocidad con que se

producen los cambios

La generación de

nuevos Paradigmas

Son la plaza pública de

antaño CREA

un entorno

altamente

inestable

y, TEMOR

A quedar

aislado

El proceso de globalización …

Gobierno corporativo

Gestión/Gobierno de las TI

GESTIÓN TI

Soporte

GOBIERNO TI

Alineación

En un estudio realizado en un congreso de Mejores

Prácticas de TIC se preguntó a más de 650 asistentes, todos

ellos miembros de departamentos TI, cuáles consideraban

que serían las “Peores Prácticas” de su actividad laboral en

sus respectivas organizaciones.

Por aplastante mayoría la “Peor Práctica” identificada fue:

No medimos cuál es el valor de nuestra contribución a la

estrategia de la compañía.

Gobierno de las TI, Valor

Las inversiones en TI como una cartera de inversión

0 10 20 30 40 50 60

1994

1995

1998

2000

2004

2006

2008

31

40

28

23

15

19

21

53

33

46

49

51

46

48

16

27

26

28

34

35

31

Succeeded Challenged Failed

30,000 Proyectos, Extreme Chaos Report 2008, Standish Group

Proyectos TI, en el mundo

EXCEDIDO EN COSTOS

Entre 20 % y 50 % 47.00 %

Entre 51 % y 200 % 39.80 %

Entre 201 % y +400 % 13.20 %

EXCEDIDO EN CALENDARIO

Entre 20 % y 50 % 32.20 %

Entre 51 % y 200 % 55.50 %

Entre 201 % y +400 % 12.30 %

FUNCIONALIDAD INCLUIDA EN EL PRODUCTO

Menos del 25 % 4.60 %

Entre 26 % y 75 % 49.00 %

Entre 76 % y 99 % 39.10 %

100 % 7.30 %

30,000 Proyectos, Extreme Chaos Report 2008, Standish Group

Proyectos TI, en el mundo

Las TI requieren más conocimiento técnico que otras

disciplinas para entender cómo:

» Son herramientas habilitantes de cambios en la organización,

» Generan riesgos,

» Crean oportunidades.

Tradicionalmente, las TI han sido tratadas como

entidades separadas del negocio.

Las TI son complejas, más aún en una organización que

opera en una economía en red.

¿Por qué no han logrado atención?

SIT-PG

ISO 27000

ISO 38500

eTOM

TAM

¿y las mejores prácticas? …

Generar acciones tendientes a crear valor para los

inversionistas y agentes externos

Adoptar un esquema para la gobernabilidad de las TI

Hacer las preguntas que corresponde

Focalizar las TI en:

» Alineamiento con el negocio

» Agregar valor

» Gestión del riesgo

Medir resultados

Valor

agregado de

las TI

Conductores de

valor para el

inversionista

Indicadores de

desempeño

Gestión del

Riesgo

Alineamiento

estratégico de

las TI

¿Qué debería hacer la alta gerencia?

Se estima que alrededor de un tercio del crecimiento de

los últimos años en EEUU se debe a mejoras en

productividad y al efecto de las TIC.

En Perú, las empresas destacan entre las principales

motivaciones para invertir en TI, factores como:

» la disminución de los tiempos de respuesta en los procesos,

» disminución de redundancia de información y

» mejoras del servicio al cliente.

» fuerte disminución de los precios de los bienes computacionales.

… en Perú

Arquetipos de Gobierno TI

Mecanismos comunes de Gobierno TI

Para medir el nivel de inteligencia TI de la compañía, cada directivo debería

empezar por hacerse las siguientes preguntas:

Gerente General:

1. ¿Quién tiene la responsabilidad de tomar nuestras decisiones TI clave, y

cómo convertirlos en responsables del rendimiento y productividad de esas

decisiones?

2. ¿Cómo se vincula el gobierno de TI de mi empresa con el gobierno de los

otros activos clave de la compañía, tales como nuestros recursos humanos,

nuestros conocimientos, nuestros activos físicos y nuestros activos

financieros?

3. ¿Cuáles son las tres o cuatro métricas clave que debería supervisar para

asegurarme que la empresa genera el máximo valor de nuestras inversiones

en TI?

4. ¿Cuál es el nivel de nuestra inteligencia en TI? ¿ Cuál es el nivel de mi

inteligencia TI?.

Agenda interrogativa …

Gerente Financiero:

1. ¿Cuáles son las principales clases de activos dentro de nuestro portafolio de

inversiones TI?

2. ¿Cuál ha sido nuestro riesgo y retorno histórico en los diferentes activos TI?

3. ¿Cómo puedo contribuir a la mejora de decisiones en inversiones TI?

Gerente de División:

1. ¿Qué porcentaje de los procesos clave de mi división están ya automatizados

y optimizados?

2. ¿Cuál es el nivel de inteligencia TI de mis recursos humanos? ¿Cuál es mi

nivel de inteligencia TI?

3. ¿Qué nivel de efectividad posee mi relación con el departamento TI? ¿Qué

papel desarrollamos en esa relación?

4. ¿Qué nivel de inteligencia empresarial tiene mi departamento TI?

5. ¿Cómo se adoptan las decisiones TI en mi división de la compañía?.


Gerente de Recursos Humanos:

1. ¿Cuál es el nivel de inteligencia TI de los empleados no TI de la empresa?

2. ¿Cuál es el nivel de inteligencia empresarial de los empleados TI?

3. ¿Hemos implantado incentivos para incrementar la inteligencia TI en la

empresa?

4. ¿Qué efectividad posee nuestro programa de desarrollo profesional para

incrementar el nivel de la inteligencia TI?

5. ¿Con qué herramientas medimos su resultado?


Gerente de TI (CIO):

1. ¿Qué porcentaje de los procesos clave de la empresa están automatizados y

optimizados? ¿Cuál es este porcentaje respecto a las ventas de la compañía?

¿Cuál es este porcentaje respecto a las compras de la compañía?

2. ¿Qué nivel de inteligencia TI tienen las divisiones de la

empresa?¿Deberíamos modificar la asignación de inversiones TI para las

distintas divisiones de tal modo que quede reflejada la diferencia?

3. ¿Cómo contribuyo mediante mi trabajo el nivel de inteligencia TI de los

directivos no TI?

4. ¿Cuál es la distribución actual de nuestra cartera de inversiones TI según los

diferentes tipos de activo?

5. ¿Cuál ha sido nuestro retorno histórico por tipo de activo y división de la

compañía?

6. ¿Qué cambios debo realizar en nuestro sistema de gobierno de las TI para

poder dar respuestas adecuadas a las preguntas anteriores?


1. Gobierno de TI es el factor más importante para producir valor por

parte de los departamentos de TI. No obstante, son las conductas, no

las estrategias, las que crean valor. En consecuencia, la parte más

difícil de un esquema de Gobierno de las TI es la relativa al fomento

de las conductas óptimas.

2. Los Departamentos de TI deberían siempre expresar numéricamente

el valor de sus resultados.

3. A partir de ahora sus habilidades de gestión serán tan o más

importantes que sus conocimientos técnicos. Estos se pueden

externalizar. En cambio, la dirección efectiva de un Departamento TI

no se puede externalizar.

Algunos comentarios para reflexión…

IT GOVERNANCE

NORMAS ISO, NTP, ITIL ...

Leyes, LPDP, Directivas ONGEI,...

SEGURIDAD INFORMÁTICA

INFORMATIZACIÓN

Gobierno de TI, definición

Gobierno del las TI, como otros temas de

gobernabilidad, es responsabilidad de los ejecutivos e

inversionistas (representados por el directorio).

Consiste en el liderazgo, estructuras organizacionales y

procesos que aseguren que la organización de las TI

sustentan y extienden las estrategias y objetivos

organizacionales.


Elementos comunes en las diferentes definiciones;

Responsabilidad de la alta gerencia,

Proteger a los accionistas,

Asegurar la transparencia del riesgo,

Dirigir y controlar la inversión, oportunidad, beneficios y

riesgos asociados a las TI,

Alinear las TI con el negocio y aceptar que las TI son una

entrada crítica y un componente del plan estratégico,

influenciando las oportunidades estratégicas.

Sustentar las operaciones presentes y futuras,

Es una parte integral de la estructura de gobierno global.


Establecer

objetivos

medibles

Comparar

resultados

Cumplir de

acuerdo a

objetivos

Medir desempeño

Actuar si no existe alineamiento

Marco de referencia para el gobierno de las TI

1) Facilitar la actividad de la empresa

2) Garantizar la integridad de la información en la empresa

3) Desarrollar un punto centralizado para los clientes

4) Desarrollar una arquitectura TI uniforme

5) Utilizar los estándares de la industria

6) Reutilizar antes que comprar y comprar antes que

desarrollar

7) Gestión de las TI como una inversión

Principios del Gobierno de las TI

Actividades

D/G Planificar

D Dirigir

G

D/G Dirigir

G Organizar

Estar informado del papel e impacto de las TI en la organización

Establecer dirección y ganancia esperada

Determinar las capacidades e inversiones requeridas

Asignar responsabilidades

Sustentar operaciones habituales

Hacer que las transformaciones se concreten

Definir las restricciones dentro de las cuales operar

Adquirir y movilizar recursos

Medir desempeño

Manejar el riesgo

Obtener seguridad

D/G Dirigir

D Dirigir

G Organizar

D Controlar

D/G Controlar

D Controlar

Directorio y/o

Gerencia

Tipo

Actividad

Planificar

Gobernabilidad TI, actividades

Gobernabilidad TI, temas

Los objetivos de las TI—

cómo:

Mejora eficiencias

Incrementa los ingresos

Apoya la creación de nuevas capacidades

Apoya procesos centrales del negocio

Permite nuevos modelos de negocios

Las oportunidades y

riesgos de las nuevas

tecnologías:

Internet e intranet

E-commerce

Mobile computing

Workflow technology

Knowledge systems, etc.

Procesos y competencias

claves:

Rendimiento sobre la inversión de los proyectos e iniciativas TI.

Cumplimiento de éstos de acuerdo a expectativas

Desempeño de los servicios TI en relación al nivel de servicio acordado

Riesgos de las TI, protección de activos y seguridad de la información

Estrategias para el outsourcing y adquisición de TI

Procesos relevantes asociados a las TI, tales como el cambio,

aplicaciones y gestión de problemas

Competencias claves asociadas a las TI: planificación, soporte,

operaciones, gestión de proyectos, gestión del conocimiento

Comportamiento ético, privacidad de los datos, y prevención de fraudes

... el ejemplo de Finlandia

« … cuyo gobierno reconoció en 1992 la carencia de

planteamientos estratégicos en las áreas de TIC, dando lugar

a un rediseño de su enfoque y visión a nivel país,

definiéndose como una avanzada sociedad de información

basada en redes de trabajo, y como un competidor de clase

mundial TIC.

Luego, el gobierno establecería un plan estratégico, con

lineamientos orientados a incorporar TI definitivamente y

como pieza fundamental en el desarrollo del país.

Como resultado, Finlandia logró levantar sus lívidas tasas de

crecimiento del orden del 2% a más del 4%, así como reducir

su índice de desempleo del 18% registrado en 1994, a tasas

1,3% en 2009 ».

El directorio debiera conducir el alineamiento a través de:

»Asegurarse de que la estrategia de TI está alineada con la estrategia del

negocio

»Asegurarse que las TI prestan un servicio según la estrategia por medio

de expectativas y mediciones claras

»Dirigir la estrategia de TI de tal forma que exista un balance entre las

inversiones de soporte y el crecimiento de la organización

»Tomar decisiones acerca de donde focalizar los recursos de TI

“La alineación de

TI es el viaje, no el

destino”

Estrategia

del Negocio

Operaciones

de TI

Estrategia

de TI

Operaciones

del Negocio

Alineación Estratégica de las TI

El directorio debiera conducir la alineación de forma de

asegurar que las TI agreguen valor, como:

Ventajas competitivas;

• tiempo transcurrido para cumplir una orden o entregar un servicio,

• satisfacción del cliente,

• tiempo de espera del cliente,

• utilidad y productividad y de los empleados

Apoyados por una estrategia de TI que asegure entregas

a tiempo, dentro del presupuesto y cumpliendo con los

beneficios prometidos.

Valor agregado de las TI

“El valor de las TI está en el ojo del observador”

Valor agregado de las TI

Mediciones de la Muestra Valor Agregado

Aumento de Ingresos

FINANZAS

Gestión del

Negocio

Gestión de

TI

Rendimiento sobre Activos

Ingresos por empleado

Tiempo para introducir un nuevo producto al

mercado

OPERACIONESVentas del nuevo producto

Calidad del producto/servicio

Tiempo de implementación de nuevas

aplicaciones DESARROLLO DE

APLICACIONES TICosto de implementación de nuevas

aplicaciones

Disponibilidad de la infraestructura

INFRAESTRUCTUR

A TICosto por transacción

Costo por área de trabajo

Tie

mp

o d

e im

pa

cto

en

el N

eg

oc

io

FINANCIERA

• # de clientes TI

• Costo por cliente

• Costo-eficiencia de los

procesos

• Valor agregado de las TI

por empleado

• Disponibilidad de sistemas y

servicios

• Desarrollo programado y

dentro del presupuesto

• Rendimiento & tiempo de

respuesta

• # de errores y trabajo de

corrección

• Nivel de prestación del

servicio

• Satisfacción de clientes

existentes

• # de nuevos clientes

• # de nuevos canales de

servicio

CLIENTES

• Productivad y moral del personal

• # del personal capacitado en nuevas

tecnologías/servicios

• Valor agregado por empleado

• Mayor disponibilidad de sistemas de

conocimiento

APRENDIZAJE

PROCESOS

Medición del desempeño, BSC IT

Activo de

Información

Riesgo intrínseco

Amenaza Vulnerabilidad

Riesgo residual

Control

tieneExpuesto a

Explota

Aplica

Queda

Administración del Riesgo, asociado a las TI

Visión de la Seguridad

SISTEMAS DE SEGURIDAD: Firewalls, IDS, IPS, Proxy, AntiSpyware, AntiSpam, AntiVirus,

VPNs, Control de Contenidos, etc.

DISEÑO: Topologías, Arquitecturas, Servicios

GESTIÓN Y OPERACIÓN: Procedimientos, Políticas

ESTÁNDARES: ISO27001, NTP 17799

LEGISLACIÓN: LPDP, Firma Digital,

Interoperabilidad

Implementar

Gestionar

Planificar

Probar

CONSULTORÍA IMPLEMENTACIÓN AUDITORÍA

1. ¿Reconocerían los empleados un incidente cuando vean uno? ¿Lo ignorarían?

Sabrían ellos que hacer al respecto?

2. ¿Conoce alguien cuántos computadores tiene la organización? Sabría la

administración si alguno se pierde?

3. ¿Conoce alguien cuántas personas están usando los sistemas de la organización?

Le interesa a alguien lo que ellos hagan o si tienen acceso o no a los sistemas?

4. ¿Sufrió la organización con el último ataque de virus? Cuántos ocurrieron el último

año?

5. ¿Cuál es la información crítica de la organización? Sabe la administración dónde la

organización es más vulnerable?

6. ¿Está la gerencia preocupada de que la información confidencial de la compañía

pudiera filtrarse?

7. ¿Han sido revisados alguna vez los sistemas de seguridad por un tercero?

8. ¿Está la seguridad de las TI en la agenda regular de la gerencia?

Algunas preguntas para la Alta Gerencia

El Gobierno de TI, resumido

Objetivo

• Entender la importancia estratégica de TI

• Asegurar que la organización pueda sostener sus operaciones, y

• Asegurar que puede implementar las estrategias requeridas para extender sus actividades en el futuro

Meta

• Asegurar que las expectativas acerca de las TI son satisfechas, y el riesgo atenuado.

Posición

• Provee la estructura para facilitar la definición de objetivos globales, la indicación del método para la obtención de esos objetivos, y la manera por el cual el desempeño será monitoreado.

Evaluación de apreciación conceptual

Instrucciones: Forme equipos por afinidad, no mayores a 4

alumnos. Identifique y describa una organización guía (de

preferencia en la que alguno de los miembros esté

actualmente trabajando) y formule su posición

consensuada, en torno a lo solicitado…..

Tiempo: 40 minutos.

Autoevaluación inicial IT.Gov…

Importancia* Influencia* Total

a. Costo de la utilización efectiva de las IT

b. Utilización efectiva de las IT para producir crecimiento

c. Utilización efectiva de las IT para el máximo aprovechamiento de los activos

d. Utilización efectiva de las IT para ganar flexibilidad empresarial

* 1-ninguna, 5-muy/mucha

1. Nuestros directivos pueden describir con detalle el IT-Governance de la organización. Grado*

2. Nuestro IT-Governance fue diseñado de forma activa y no mediante acciones descoordinadas.

3. Nuestro IT-Governance es estable y ha sufrido pocos cambios en los años recientes.

4. Los gerentes NO-IT reciben asesoramiento con el objetivo de que puedan seguir las directrices

establecidas.

5. Hay un número muy reducido de objetivos de negocio claves que dirigen el diseño del IT-Governance.

6. Tenemos unos procesos de excepciones rápidos y bien definidos.

7. El IT-Governance tiene un(os) claro(s) propietario(s) y existen indicadores de medida del éxito.

8. Los sueldos, los incentivos y el IT-Governance están en concordancia.

9. Tenemos un IT-Governance efectivo en la totalidad de la organización y en concordancia con los objetivos

de negocio.

10. Nuestro director de SI podría ausentarse dos meses y nuestro IT-Governance seguiría funcionando

correctamente.

1. ¿Cuál de los arquetipos de IT.Gov se practica en su

empresa?. Describa un caso que lo sustente.

2. ¿Cuáles son los tres mecanismos comunes de IT.Gov

más utilizados en su empresa?. Describa un caso por

cada uno de ellos.

Describa y sustente ¡¡¡

Responda ¡¡¡ (utilice estimaciones cuantitativas en sus respuestas)

a) ¿Cuántos directivos consideran que los asuntos relacionados con las

TIC corresponden exclusivamente al departamento TI?

b) ¿Cuál es el retorno de las inversiones en TI en su empresa?

c) ¿Es claro el propósito de las TI en su organización?

d) ¿Están los usuarios, satisfechos con la calidad del servicio de TI?

e) ¿La infraestructura y los recursos disponibles de TI son suficientes

para lograr los objetivos estratégicos de la organización?

f) ¿Cuánto tiempo se necesita para tomar decisiones importantes

respecto a TI?

g) ¿El esfuerzo y las inversiones relacionadas con TI, son transparentes?

h) ¿Cuánto del esfuerzo TI se dirige a solucionar problemas en lugar de

permitir mejoras en el negocio?

Nelly Reyes

GOBIERNO

DE LAS TECNOLOGIAS DE INFORMACIÓN

Evolución de las Empresas y del Rol de TI

en las OrganizacionesNelly Reyes I.

Evolución de las Organizaciones

Al final, la nueva economía no está en la tecnología, ya seaésta el microchip o la reden la mente humana.

global de telecomunicaciones. Está

Alan Webber

Alan Webber, ¿Qué es tan nuevo acerca de la nueva economía?,Harvard Business Review, 1993.

Escenario actual

•••••

•

Globalización de la Economía

Velocidad del cambio

Rápido y fácil Acceso a la Información

Innovación

Obsolescencia de los esquemas deproducción

Empowerment

Escenario actual

Gestión en la era de la información

• Lo importante ahora es la gestión deactivos Intangibles y su capacidad de

loshacer,

loo

o

o

o

o

que nos permite:Desarrollar relaciones de lealtad Introducir

productos por segmentos Producir según

especificaciones de calidad Motivar y

movilizar habilidades

Aplicar tecnologías innovadoras

Escenario actual

CÓMO NACEN LAS EMPRESAS

••

•

•

La base de cualquier empresa, es su fundador

El fundador determina las reglas de la empresa como colaborará su personal

y la forma

El fundador ejerce una influencia dominante y cohesiva enla organización

Con el transcurso del tiempo, la empresa crece.

o La influencia del fundador en la conducta de losempleados, prácticamente desaparece.

o Los empleados ahora son influidos por otras personas con otras ideas (niveles medios).

ORGANIZACIONES AYERDE

•

•

•

•

Escenario economía cerrada

Compañías orientadas a producir un producto o servicio.

Mercado con capacidad de absorber a todos.

Comercialización y venta fácil.

ORGANIZACIONES TRADICIONALES

•••••••••

Deseo de Estabilidad

Múltiples Niveles Administrativos

Reducción de riesgos

Toma decisiones lenta, central.

Respuesta al cliente tardada

Miembros especialistas

Importa jerarquía, control

Tamaño grande, inflexibilidad

Medio comunicación: Papel

ORGANIZACIONES DE HOY

•

•

•

•

Escenario de una economía abierta

Compañías orientadas a servir al cliente

Entorno altamente competido.

Comercialización y venta claves para la supervivencia.

ORGANIZACIONES MODERNAS

•••••••••

Dinámicas

Plana, esfera de comunicaciones

Explota nuevas oportunidades

Información disponible para todos.

JIT en la Información

Miembros con conocimiento/autodirección.

Autoridad y mando circular. (Trabajo en equipo)

Esbeltas

Medio de comunicación: Electrónicos.

ORGANIZACIONES MODERNAS

LA EMPRESA 3-D

•••

Geográficamente Dispersos

Gerenciamiento Distribuido

Organizados Diversamente

El concepto de organización centralizada, homogénea y jerárquica no es aplicable hoy en día. Inevitablemente las organizaciones deben estar unidas por tecnología y una administración operacional.

LA EMPRESA 3-D

El uso de la Tecnología es mandatorio

•

•

La Dispersión es manejada a través de links infraestructura para compartir información

electrónicos y una

La Decisiones distribuidas dependen de la rápida generación ydiseminación de la información. Información de: operaciones locales, prioridades corporativas, condiciones del mercado las otras unidades de negocios, proveedores y usuarios

La Diversidad es manejada por una continua comunicación yherramientas de colaboración y la modularizacion que debentener las tecnología para adaptarse al mercado local.

•

LA EMPRESA 3-D

• El crecimiento por demanda de información en los negocioshace que se necesita respuestas rápidas

• Procesos lentos en gestión de planeamiento y gestión operacional, simplemente no deben ocurrir

LA EMPRESA 3-D

En cuanto a sus productos y/o servicios:

• ¿Es la compañía capaz de entregar sus productosservicios mas rápido que sus competidores?

o

• ¿Suministran el producto o servicio en la fechaentrega prometida?

¿Es la compañía capaz de ofrecer soporte del producto o servicio después de la venta?

de

•

• Ofrecen una amplia variedad de productos o serviciosa sus clientes?

LA EMPRESA 3-D E IT

• Los vastos requerimientos de información están haciendoque los departamentos de sistemas cambien su enfoque

• Los limites entre lo que es IT y el resto de la empresa estándesapareciendo pues ahora las unidades de negocios debentrabajar juntos para implementar un proyecto

• La responsabilidad se comparte. Las gerencias debenconocer las capacidades que IT puede dar

• Conocer el negocio debe ser una necesaria competencia dela gente de IT

LA EMPRESA 3-D E IT

• Los negocios actualmente necesitan de gente en IT conmucha capacidad de poder orquestar y sintonizar lasnecesidades corporativas, de la división y de losdepartamentos a fin de poder proporcionar suficienteinformación a los usuarios, proveedores, clientes y otrasfuentes de recursos.

IT debe organizarse de tal forma que pueda brindar sus servicios, cuando sea necesario, donde sea necesario y con el ancho de banda que se necesite.

•

Strategic

Operational levelDay to Dayoperation

Tactical levelMedium termdecisions

Strateg

level

Long termdecisions

Así apareció la división jerárquica en tres niveles, la gerencia, los mandos medios y los operadores.

y la divisiónproducción,

funcional con funciones como marketing,distribución, administración y finanzas.

La Empresa 3-D y Organización

El nuevo modelo de negocios: Un corto ciclo innovador tanto de conceptos,

productos y del propio modelo de organización

La mayor sensibilidad ante los cambios permanentes del mercado combinada con la mayor velocidad de respuesta.

La total orientación de todo el modelo organizacional hacia la solución de las necesidades de los clientes con nombre propio

IT DOES NOT MATTER??

• Nicholas Carr, de Harvard Business Review escribió unartículo “TI no importan”

• ...Porque todas las empresas pueden comprar TI en elmercado,

• ...porque cualquier ventaja obtenida por una compañíapuede ser fácilmente copiada por otra compañía,

IT DOES NOT MATTER??

• ...porque TI es ahora un comodity basado en estándares(como Internet) que cualquier compañía puede usar

• ...no es ya un factor diferenciador en el desempeño de unacompañía

Evolución del Rol de las TI en lasOrganizaciones

Evolución del Rol de las TI

Cual es la futura dirección de informática• De acuerdo con Nicholas Carr, autor de

“The Big switch”, publicado en enero de2008, la industria de TIC está ahora en uncambio de paradigma enorme donde lasempresas se desplazarán desde el caropersonal profesional de TI y las costosasinfraestructuras, a menos personal de TI yobtener sus servicios a través de Internetaccesando a los proveedores comoGoogle, Microsoft, etc.. Esto se denomina“Computación en la nubes."

Estos servicios se prestarán en servidores que son accesibles a través de las tecnologías de Internet y la web.

•


Cual es la futura dirección deinformática

De acuerdo con Bill Gates y Ray Ozzie, en memos publicados el 30 de octubre de2005:

Microsoft debería orientarse a abrazarla web y servicios web: “Pues a laspersonas no les interesara cómofunciona su computador sino quesimplemente quieren sus resultados“

Estos servicios se prestará en servidores que son accesibles a través de Internety las tecnologías de la web.

•

•


• En 1968, un Ing. Intel llamado Ted Hoff inventóel microprocesador impulsando avancestecnológicos que han transformado el mundoempresarial.

Las TI permitieron operaciones de empresas individuales, unen cadenas de suministro lejanas, y permite enlazar a las empresas con sus clientes.

•


• Veinte años atrás la mayoría de los ejecutivos veían a lacomputadora como una herramienta perteneciente a losempleados de más baja posición en la empresa. Latecnología de información no estaba incorporada en supensamiento estratégico

• Actualmente, éste fenómeno es tratado rutinariamente porlos gerentes de más alto nivel. Analizan cómo usar TI paraubicarse en una posición competitiva frente al resto.


Tendencias de Gastos en TI


Pensamiento Ejecutivo

• Los altos ejecutivos, por mucho tiempo habían vistoque las TI eran automatizadoras de tareas repetitivas,empezaron a hablar con frecuencia del valorestratégico de las TI.De cómo podían usar las TI para obtener ventajascompetitivas y de la digitalización de su modelo denegocio.

•

• Incluso incluyeron al CIO en su grupo de gestióndirectiva


Pensamiento Ejecutivo

• Muchas empresas contrataron empresas de consultoríaestratégica para proporcionar nuevas ideas sobre cómo sacarpartido a sus inversiones en TI para la diferenciación yventajas.


Las TI comienzan a transformarse en:

•

•

Recursos potencialmente estratégicos a factoresproducción.

de

Los costos de hacer negocios que deben ser pagados portodos pero que no proporcionan distinción a nadie.


Cambio en Pensamiento Ejecutivo

Se basó en el hecho de que al incrementar la potencia yubicuidad de las TI, su valor estratégico también sehabía incrementado.


Correcciones

Pero este razonamiento es erróneo.

Lo que hace a un recurso estratégico es su su ubicuidad.

•

• escasez, no

Las funciones de las TI (almacenar, procesar y•

transportar datos) están disponibles universalmente ytodas las organizaciones se las pueden permitir. Soncommodities.

Los costos TI son necesarios para llevar a cabo•

negocios y no proveen ningún tipo de ventajacompetitiva.


Evolución

• Las TI son las últimas de un grupo de tecnologías quehan cambiado la industria en los dos últimos siglos: lamáquina de vapor, el tren, el telégrafo, el teléfono, etc.

• Durante un tiempo, cada una de ellas supusieronoportunidades para aquellos que iban por delante.Pero al incrementarcosto, dejaron de ser

su disponibilidad y disminuir suestratégicas.


DESVANECIMIENTO DE VENTAJAS

Dos tipos de tecnología:

•Las tecnologías propietarias (por ejemplo: un medicamento, un proceso productivo, un material de embalaje) sí son fuente de ventaja competitiva sostenible.Las tecnologías propietarias pueden ser de una solacompañía.

Un fabricante industrial posee una forma innovadora deutilizar una tecnología de proceso que los competidoresles resulta difícil de replicar. Siempre que estén

•

•

protegidas, las tecnologías propietarias pueden serventajas estratégicas a largo plazo.


Desvanecimiento de ventajas

• Las tecnologías infraestructurales (vías del tren,teléfonos), por el contrario, adquieren mayor valoren función de que se compartan y distribuyan enmayor medidaaislada.

y no cuando se usan de manera



Una de las características más importantes de lastecnologías de infraestructura es la rapidez con la que seinstalan:

• Primero ocurre una inversión masiva (etapa inicial )que provoca la caída de los precios y

• Segundo rápidamente se convierte en un recursodisponible para todos (etapa de uso generalizado)



InformaciónFerrocarriles Generación eléctrica Tecnología de la

Etapa inicial

Etapa de uso generalizado

Obs.

1841 1889 1990

1876 1920 2002

Se hace masivo cuando las Se utilizó como medida elredes o cables número de usuarios dese incorporan a nivel Internet.familiar en campos yciudades

entos de



• La ventana para obtener ventajas de unatecnología de infraestructura está sólobrevemente abierta

Por ejemplo, las vías del ferrocarril, líneas telegráficas, líneas de energía, todo fue colocado en un frenesí tan intenso en el caso las líneas de ferrocarril que costó cividas de trabajadores.

•

de


Hipótesis errada

El error en el que caen los ejecutivos es suponer que•

las oportunidades de ventaja competitiva estarándisponibles indefinidamente.

La oportunidad de obtener ventajas competitivas detecnologías infraestructurales existe durante un muycorto periodo de tiempo.

Las tecnologías infraestructurales tienen influencia

•

•

sobre la competitividad. Solo que pasan a tenerinfluencia únicamente a nivel macroeconómico (anivel de país o de sector industrial, por ejemplo).


La comoditización de las TI

Sin duda alguna, las TI tienen todo a favor tecnologías infraestructurales.

de ser•

Tienden rápidamente hacia la comoditización.

Las TI son un mecanismo de transporte, por lo

•

• que suvalor es mucho mayor cuando se comparten quecuando se usan aisladamente.

La mayoría de los procesos y actividades de negocio están metidos en las TI, estos también son replicables.

Internet ha supuesto la aparición de un canal perfecto para entregar las aplicaciones.

•

•


La Comoditización de las TI

• Las TI al ser altamente replicables, condenaaplicaciones propietarias a la obsolescencia económica.«Las empresas pueden comprar aplicaciones yahechas»

No sólo el software se puede repetir «La mayoría de las actividades y procesos de negocio han llegado a ser incorporados en el software.»

La llegada de Internet proporciona un canal de entrega para aplicaciones genéricas. «Las empresas están comprando "Servicios Web" por parte de terceros, similar a la compra de energía eléctrica o de servicios de telecomunicaciones. »

•

•



Compañías como:

• American Airlines, con su sistema de reservas Sabre.

•••

Federal Express con su sistema de rastreo de paquetes.

Mobil Oil con su sistema automático de pago Speedpass.

Las subastas de eBay en Internet

Usaron TI para obtener ventajas operativas y de marketing,ganando ventajas a través de la implementación deinnovaciones de TI.

Y ventajas adicionales, como las economías de escala y reconocimiento de marca, son más duraderas que la ventaja tecnológica original.



•

•

•

•

Tener o desarrollar IT por sí sola no suele brindarventaja estratégica

Sin embargo, a partir de innovación en IT , se puede desarrollar Ventaja Estratégica

Caso Wal-Mart : Reporte Ventas “al minuto” para elminorista y proveedores. Logística.

Caso Dell : “Comoditización” de PC's a servidores,almacenamiento y servicio



El despliegue de la industria definal que del principio debido a:

las TIC está más cerca del

1. La potencia de las TIC ya es mayor que la capacidadque necesitan los procesos de negocio.

Los precios las hacen alcanzables a cualquiera.

Ya se tiene más capacidad de distribución en Internet que necesidades.

Los propios vendedores corren hacia la posición de proveedores de commodities.

La burbuja inversora ha estallado.

2.3.

4.

5.


La comoditización de las

•

TI

La realidad: La TI, es un recurso disponible al alcancetodosde cualquier empresa. Su uso se puede ver en

lados, razón por lo cual, este recurso, ya no forma partede una ventaja competitiva… «IT doesn't matter»

«El valor estratégico de un recurso es mayor cuando la escasez de su uso es mayor.»

• La empresa podrá mantener una posición estratégicaen el mercado, siempre y cuando tenga algo que lasdemás no tienen o haga algo que el resto no puede.



• La Tecnología de la Información es más bien vistacomo la última de las tecnologías que segeneralizaron y transformaron la industria en estosúltimos dos siglos.

• Algunos descubrimientos en su etapa de desarrolloinicial tenían un muy alto valor estratégico y con eltiempo y el comienzo de su uso generalizado suvalor estratégico iba disminuyendo hastadesaparecer


De la estrategia ofensiva a la defensiva

Del pasado, la lección es clara: cuando un•

recurso es imprescindible para competir, peroinútil para la estrategia, los riesgos que generason mucho mayores que las ventajas queprovee.

Los problemas potenciales de las TI son•

numerosos: técnicos, obsolescencia, malosproveedores, seguridad, incluso terrorismo.

El mayor riesgo es uno: el gasto excesivo.

Es necesario más rigor a la hora de evaluar losretornos de la inversión, más creatividad a lahora de explorar soluciones más económicas ymás sencillas y una apertura al outsourcing

•

•



El caso más sencillo es el mercado de los PCs y las•

aplicaciones ofimáticas. En muchos casos, el gasto sebasa en las estrategias de los vendedores.

El espacio deen

almacenamiento, uno de los gastos•

principales el área de TI, algunas estimacionescifran en un 70% el almacenar spam, ficheros MP3 yotro tipo de contenidos que poco tienen que ver con laproductividad empresarial.

Posponer la inversión en TIC es una buena fuente deahorros, de forma que las tecnologías sean adquiridascuando ya han entrado en su fase de comoditización.

•



En general, el gasto en TI tiene poca relación con los•

resultados financieros. Algunos estudiosdemuestran que las empresasaquellas que menos gasto en TI

más rentables sonrealizan (las 25 más

rentables gastaron de media un 0,8% frente alestándar del 3,7%).

La gestión de las TI debería convertirse en algo•

aburrido. La clave para el éxito empresarial no seencuentra en la búsqueda agresiva de ventajas, sinoen la adecuada gestión de los riesgos y los costes.


Nuevas reglas para la gestión de las TI

• Gastar menos

• Seguir, no liderar

• Enfocarse en las vulnerabilidades, nooportunidades

en las


Nuevas reglas para la gestión de las TI• Gastar menos.

Estudios han comprobado que las compañías con mayor capital invertido enTI, rara vez poseen los mejores resultados financieros. En general, ocurre locontrario.

• No adelantarse con lo nuevo, seguir de cerca sudesarrollo en su puesta en práctica.

Cuanto más se espera para comprar recursos tecnológicos nuevos e innovadores, menores serán los riesgos de comprar recursos defectuosos destinados a la obsolescencia. Debe encontrarse el punto justo.

Concentración en las vulnerabilidades de la compañía con respecto a la tecnología más que en las oportunidades que ésta ofrece.

Es inusual que la empresa gane una ventaja competitiva a través del uso distintivo de una tecnología de infraestructura. Pero una breve interrupción de su disponibilidad puede ser muy perjudicial.

•


RIESGOS OPERACIONALES ASOCIADOS A LAS TI

• Fallas técnicas, obsolescencia, interrupciones del servicio,brechas de seguridad, etc. Una interrupción de TI puedeparalizar la capacidad de una compañía para hacer susproductos, ofrecer sus servicios, y conectar con sus clientes,y su reputación.

El almacenamiento de datos, representa más de la mitad de los gastos en muchas empresas. Se debe restringir la capacidad de los empleados para guardar archivos de manera indiscriminada e indefinidamente.

•


RIESGOS

•

OPERACIONALES ASOCIADOS A LAS TI

Dell y Wall-Mart permanecen bien lejos de la tecnologíade punta, esperando para hacer las compras hasta quelos estándares y las mejores prácticas se solidifiquen.

Dejan que sus competidores impacientes experimenten altos costos, y luego barrer delante de ellos, gastando menos y obteniendo más.

•


CAMBIO EN LAS GESTIÓN DE TI

• Las empresas deben gestionar susinfraestructuras de TI para reduciren requerimientos de inversión decapital y costos operativos.

A medida que las empresas dependen de plataformas de TI para sus operaciones, deben concentrarse en las vulnerabilidades y administrar más agresivamente la fiabilidad y la seguridad.

•



Extraer valor de TI requiere, innovaciones en las prácticas empresariales

• Empresas que ponen TI en forma mecánica en sus negocios,sin cambiar sus prácticas de explotación de las nuevascapacidades sólo destruirá el valor económico de TI.

Muchas oportunidades para innovaciones en prácticas de negocios deberían incluir relaciones a largo plazo con otras empresas con capacidades y equipos complementarios.

No es la TI la que ofrece ventaja competitiva, sino comousarla efectivamente.

El potencial de la tecnología para diferenciar una empresa disminuye a medida que se convierte en accesible y asequible para todos.

•

•

•



El impacto económico de TI proviene de innovacionesincrementales en lugar de grandes iniciativas

• Las grandes iniciativas impulsadas por TI, soncomplicadas y costosas, requieren mucho tiempo

ejecutarlas y cargados de riesgos.para

• Para obtener ventajas competitivas se requiere conocermuy bien las fortalezas, debilidades, amenazas yoportunidades de la organización para incorporar deforma clave el uso de tecnologías de información en susoperaciones.



• Muchas veces los encargados de TI de las organizaciones,debido al afán de tener la mejor tecnología , lo último , lamejor calidad , se lanzan a la compra de estos productosdejándose llevar por la publicidad de los grandesvendedores de tecnología , cuando lo más racional seríaanalizar a conciencia qué es lo que la empresa necesitarealmente en cuanto a capacidad en TI y buscar diferentesprecios y alternativas para seleccionar así la opción óptima.

«Nicholas Carr deja en claro que quienes se ocupan de la tecnología de la información en las empresas, deben tener en cuenta que esa euforia de la TI ya no existe porque es un recurso disponible que está al alcance de cualquier empresa por la cual ya no forma parte de una ventaja competitiva.»

Evolución de los Sistemas

INTRODUCCIÓN

• El origen de los Sistemas de Información está íntimamenterelacionado con el origen de las organizaciones a tal puntoque un Sistema de Información no puede existir sino existeuna organización.

• Los Sistemas de Información han evolucionado conforme lohan hecho las empresas.

SistConj

aciónentes in ue

Que es un Sistemas de Información?

ema de Informunto de compon terrelacionados q

Capturan

la información para apoyar

Almacenan Procesan Distribuyen

Toma de decisiones Control Análisis Visión

de una institución. SIBC (Sistemas de Información Basados en Computadora)

Sistemas de Información

IMPORTANCIA DE LOS SI

• Industrias que no pueden sobrevivir sin uso extensivo deS.I.

o E-commerce (Amazon, eBay, Google, E-Trade, online universities: University of Phoenix)

o Compañías de servicios –Finanzas, Seguros, Estado,Viajes, Medicina, Educación.

o Cadenas comerciales: Walmart, Sears

o Manufactureras: General Motors, General Electric

TICs son la base para negocios en el siglo XXI•

IMPORTANCIA DE LOS SI

• Lo que una empresa desea hacer dentro de 5 añosdependerá de lo que sus sistemas puedan hacer

o Incrementar su mercado

o Convertirse en el productor de alta calidad o bajo costo

o Desarrollar nuevos productos

o Incrementar la productividad de los empleados

o Depende del tipo y calidad de información

clases para el final

Education