Junio 2017
L a R e v i s t a d e Te c n o l o g í a p a r a e l N e g o c i o by -
SEGURIDAD DE LA INFORMACIÓN
El CEO impulsa la seguridad en la era digital
Lenín Loyola
Miguel Ebenberger
Gerente General de Banco D-Miro
Gerente General de Banco ProCredit
Innovación y Tecnología para cambiar vidas. Pág. 8
Un modelo digital “self service” a un clic. Pág. 6 CIRCULA CON AMÉRICA ECONOMÍA
La seguridad es Banco del Pacífico: estratégica en el negocio Omnicanalidad para mejorar digital. Pág. 4 la experiencia del cliente. Pág. 10
Crónica de un ataque: “borrón y cuenta nueva”. Pág. 12
Editorial Proteger el negocio digital
L
a nueva era digital junto a la dependencia de la tecnología y uso de las TIC en los negocios suponen una amenaza para las actividades de las empresas. Los intentos de fraude y ataques no paran y generalmente cuando estos han logrado su objetivo, se debe al desconocimiento de los usuarios y de políticas claras a seguir.
responsables y proveedores de Tecnología. Sin embargo, es necesario tener la perspectiva de la otra parte del negocio, gerentes generales, financieros, etc.,: cómo participan y apoyan las iniciativas de adopción de las nuevas corrientes tecnológicas en sus empresas.
La necesidad de capacitación y concienciación en seguridad es hoy una pieza vital para garantizar la continuidad de las actividades de todo negocio.
El desarrollo del tema en esta edición permitirá a los equipos ejecutivos tomar decisiones de negocios. Hemos considerado las opiniones de proveedores, usuarios y firmas consultoras, que nos proporcionarán un panorama lo más cercano a la realidad del mercado ecuatoriano.
Hemos visto en varias oportunidades que temas como la Seguridad de la Información entre otras tendencias en la nueva era de los Negocios Digitales, han sido abordados por
Muchas gracias a nuestros colaboradores e invitamos a nuevos profesionales a compartir sus iniciativas y buenas prácticas de IT en nuestras futuras ediciones.
Directora Janeth Martínez janeth.martinez@itahora.com Editora Anavela Herrera anavela.herrera@itahora.com Redacción Karen González redacción1@itahora.com Colaboración María Sol Yépez Una producción de IT ahora 593.2.224 7910 / 09.983 85557
SÍGUENOS EN: @itahora / Revista Tecnológica IT Ahora itahora www.itahora.com
SEGURIDAD
I
La seguridad es estratégica en el negocio digital
L
as empresas ecuatorianas grandes o medianas que miran hacia los negocios digitales cuentan con iniciativas de seguridad relacionadas al control de acceso a información e implementación de soluciones tecnológicas para gestionar la seguridad.
Para María Fernanda Rodríguez, presidenta de la Asociación de Auditoría y Control de Sistemas de Información, ISACA, capítulo Quito, las empresas ecuatorianas focalizan sus acciones de seguridad a través del control de acceso, gestión de identidad y la configuración de seguridad en i n f ra e st r u ct u ra tecnológica, sin embargo se debe desarrollar el compromiso de la alta dirección con la seguridad de la información. En un negocio digital donde hay una fuerte tendencia a desarrollar acciones digitales sobre todo en las áreas comerciales se necesita un mix de capacidades técnicas, funcionales y del negocio para concientizar de que en lo digital existe una mayor exposición y mayores riesgos de seguridad. Para José Adrián Pino, jefe de Seguridad de la Información de Pronaca, las empresas ecuatorianas se preparan para ir al negocio digital y cuen-
4
tan con planes de negocio e inversiones para entregar bienes y servicios a través de canales digitales, de manera que el área de seguridad de la información debe garantizar el acompañamiento para el éxito del negocio. La seguridad de la información debe ser concebida con una visión estratégica y de negocio, caso contrario será vista como un gasto y no como una herramienta habilitadora de negocio, servicios y procesos más seguros, señala Roberth Chávez, gerente Senior de Asesoría de Riesgos en Deloitte Ecuador. Las empresas deben encontrar el balance adecuado entre protección de información y desarrollo de negocio y en esa tarea el profesional de seguridad debe actuar frente a una audiencia no téc-
nica como el área legal por ejemplo, y transmitir su mensaje en términos de negocio. El sector bancario ha liderado la entrega de servicios digitales para sus clientes debido a exigencias regulatorias también han desarrollado estrategias y planes de seguridad que protejan al usuario y faciliten la continuidad del negocio. Las empresas medianas y grandes en el país trabajan en: • Control de accesos y actividades. • Implementación de parámetros de seguridad: base de datos, sistemas operativos, seguridad perimetral. • Monitorización de seguridad.
Protección de la información con enfoque de negocio Las empresas ecuatorianas tienen comportamientos variados en relación a la seguridad de la información: • Hay empresas reactivas. • Empresas que se remiten solamente a implementar soluciones informáticas. • Empresas con estrategias para optimizar la gestión de seguridad.
SEGURIDAD
I
ProCredit, un modelo digital “self service” a un clic ticas de gestión de riesgo tecnológico a nivel del grupo y estándares altos sujetos a los organismos de regulación bancaria alemana y las normativas ecuatorianas”, explica el gerente, Miguel Ebenberger.
Miguel Ebenberger, gerente General de Banco ProCredit.
L
a imagen de una fila de personas en espera para realizar una transacción bancaria, al parecer va quedando para la historia. En Ecuador, más del 80% de transacciones se hacen en línea, es decir por internet, con tablet, teléfonos inteligentes, entre otros; en definitiva en puntos en donde el cliente no tiene contacto con su asesor bancario. Miguel Ebenberger, gerente de Banco ProCredit, considera que en general el mercado financiero está invirtiendo en plataformas digitales porque los usuarios exigen servicios a su elección, que estén a su alcance y más fáciles de manipular. Nuestro reto, dice, será lograr ser exitosos en la implementación tecnológica desde el punto de vista del usuario. “Este es el camino que hemos tomado, ya contamos con oficinas que operan sin efectivo, cashless, en Quito, Guayaquil y Otavalo que son centros para hacer negocios”, advierte Ebenberger. El Banco ProCredit Ecuador es uno de los 14 bancos pertenecientes al grupo ProCredit de Alemania, que tiene como misión ampliar el acceso a los
6
José Hernández, jefe de IT de Banco ProCredit.
servicios financieros de pequeñas y medianas empresas, y para la población en general de países en vías de desarrollo y economías en transición. En Ecuador tiene 12 años en el mercado y sirve a 40 mil clientes a nivel nacional. Esta institución bancaria prevé una oferta de canales y servicios para los clientes bajo la modalidad de “selfservice”, con tarifas atractivas, comodidad, rapidez, y acceso para sus clientes privados de medianas y pequeñas empresas. En Banco ProCredit, por ejemplo, maneja un modelo de negocio al cual los clientes pueden acceder a todos los servicios bancarios al momento de abrir su cuenta corriente transaccional, operaciones como transferencias nacionales, internacionales, compras en línea mediante su tarjeta de débito, uso de tokens, consultas en línea o mediante banca telefónica son parte de este modelo. Toda esta transformación va de la mano de mecanismos de seguridad, “El Banco ProCredit tiene un marco de gobierno corporativo que incluye polí-
En la institución se han jerarquizado los niveles de seguridad en siete capas que involucra a personas, procesos e infraestructura. José Hernández, jefe de IT de Banco ProCredit dice, hablamos de seguridades físicas, políticas robustas de seguridad de la información sujeta a regulación local y a estándares internacionales que permita la disponibilidad, accesibilidad e integridad de la información. Además, seguridad perimetral de redes y sistemas; análisis periódicos de vulnerabilidades, controles de acceso y protección de datos, además de un plan de continuidad del negocio actualizado que se complementa con monitoreo y concientización a usuarios. La transformación hacia una banca digital del Banco ProCredit Ecuador, prevé que en 2 años el 95% de sus clientes podrán hacer sus transacciones de manera virtual, de acuerdo a sus necesidades y expectativas, y sobre todo, sin tener que ir a las agencias bancarias. El gerente también considera que Banco ProCredit tendrá un personal muy calificado “más arriba del promedio del mercado ecuatoriano, que se dedicará a asesorar a sus clientes en planes de inversión, financiamiento, planificación financiera, es decir, otros productos con valor agregado que beneficien a las pequeñas y medianas empresas del país”.
SEGURIDAD
I
Banco D-MIRO: Innovación y Tecnología para cambiar vidas
H
ace 20 años, el Programa de Micro finanzas D-MIRO que en ese entonces entregó menos de 15 créditos en la Isla Trinitaria de Guayaquil, ahora es un Banco con una cartera de 92 millones de dólares. El Banco D-MIRO, con su filosofía de “cambiar vidas” y capital noruego, se especializa en otorgar micro- créditos a un sinnúmero de clientes en la costa ecuatoriana que pertenecen al sector más vulnerable de la población. “En el negocio de las micro finanzas es vital que el banco vaya al cliente, lo capacite en temas financieros, realice el seguimiento, lo que significa mayores inversiones, de manera que es importante construir una plataforma tecnológica que reduzca los costos de este servicio, sea más eficiente y sobre todo, se pueda atender de mejor manera a los clientes”, señala Lenin Loyola, gerente general de Banco D- MIRO. Con esa perspectiva la entidad pretende, en pocos años ser ejemplo de una banca digital y para ello ha iniciado por renovar su “corazón” o lo que se conoce en el mundo tecnológico como core bancario. Ese nuevo core bancario, el Software T24 de Temenos, cubrirá sus necesidades para proyectarse hacia una banca digital, la creación de nuevos productos y la reducción de costos operativos. T24 está orientado al servicio al cliente, con una operación en tiempo real las 24 horas del día y los 7 días de la semana, integrando de
8
Lenin Loyola, gerente General de Banco D-Miro; Miguel Fuentes, gerente de IT de Banco D-Miro.
manera fluida los datos y procesos. Miguel Fuentes, gerente de Tecnología y Procesos, explica que las características de T24 les permitirá cambiar el concepto y operatividad de un cajero automático (conocidos como ATM) que hoy por hoy solo sirve para retirar dinero, hacer transferencias o pagos de servicios hacia “cajas virtuales”, con todo el sinnúmero de servicios que prestan actualmente las cajas físicas en los bancos. Pero eso no es todo, pues unido con quioscos de autoservicio y banca móvil, es decir aquella que se refiere a la realización de transacciones financieras desde un teléfono inteligente, computadora o tablet, se tendrá la oportunidad de tener “verdaderas agencias virtuales”, que podrán estar en lugares seguros y de gran afluencia de público como los centros comerciales, parques, entre otros. En este proceso de transformación la
gerencia general y gerencia de tecnología trabajan coordinadamente para cumplir retos. Entre ellos, lograr el retorno de la inversión y la seguridad. “En un negocio digital existe una mayor exposición a ataques que vulneren las seguridades, de manera que es necesario, implementar y cumplir altos estándares de seguridad para la provisión de nuevos productos y servicios”, señala Miguel Fuentes. El plan de seguridad está basado en las mejores prácticas de los estándares ISO 27000, política de seguridad interna, cumplimiento normativo como la norma 3066, donde se analizan las seguridades externas e internas y conceptos de privacidad y confidencialidad siguiendo las normativas para el sector. El lema del Banco D-MIRO es Cambiar Vidas y al parecer lo seguirá haciendo en un futuro, incluso al interior de su banco.
ASESORÍA • REPARACIONES • ESTUDIOS DE CALIDAD DE ENERGÍA
energía sin interrupciones
INGENIEROS EXPERTOS EN UPS
www.nobreak.com.ec
GUAYAQUIL: Av. Luis Plaza Dañín y Av. de Las Américas - Telfs.: 04 600 5515 - 04 600 3986 QUITO: Leonardo Murialdo Oe 112 y Av. Galo Plaza Lasso - Telf.: 02 2416 760 - 0999 444 039
SEGURIDAD
I
Banco del Pacífico: Omnicanalidad mejora la experiencia del cliente
E
l Banco del Pacífico es la segunda institución más importante de la banca en el país. En febrero del 2017, el banco registró en el Estado de Situación Consolidado y Condensado de la Superintendencia de Bancos, un total de pasivos, patrimonio e ingresos por un valor de USD. 5.242.963,10. Durante 45 años, Banco del Pacífico ha evolucionado hacia un modelo de negocio digital implementando canales electrónicos y digitales para sus clientes. Uno de sus más recientes, es Smart Pacifico, una aplicación móvil dirigida a clientes de 18 a 25 años, a través de la cual se puede abrir una cuenta y realizar transacciones digitalmente. La institución bancaria tiene planes de innovación con la creación de nuevos productos y servicios bajo el modelo de omnicanalidad donde la experiencia del usuario sea la misma a través de todos los canales a los que tiene acceso el cliente. José Luis Nath, gerente Nacional de Seguridad Bancaria del Banco del Pacífico, menciona que la omnicanalidad desde el punto de vista de seguridad debe ser entendida como una “única experiencia”, debe ser amigable, confiable y adaptable e ir de la mano con la promesa de venta y operativa. La innovación de productos y servicios de la institución bancaria gira en función de la omnicanalidad y seguridad, de manera que “estamos diseñando y
10
creando productos innovadores donde la parte de seguridad no sea un tema restrictivo sino facilitadora del negocio”, indica el ejecutivo. Las instituciones financieras tienen que asegurar los nuevos modelos digitales, y las transacciones de los clientes, con esta visión la creación de productos en el Banco se ajustan a las normativas establecidas 2148, y 3066 de la Junta Bancaria. Un sistema de protección integral basado en mecanismos robustos y de doble autenticación, así como programas de capacitación para los clientes sobre el uso de canales electrónicos.
José Luis Nath, gerente Nacional de Seguridad Bancaria del Banco del Pacífico.
La banca móvil, Movilmático, de la institución tiene implementado biometría facial, un sistema de reconocimiento del rostro que identifica automáticamente la imagen digital autorizada y registrada por el cliente. “Estamos en un ciclo de aprendizaje donde el cliente acoge y adopta esta tecnología y a medida que madure continuaremos utilizándola en beneficio de las necesidades de los nuevos clientes”.
Para José Luis Nath, gerente Nacional de Seguridad Bancaria del Banco del Pacífico, los líderes de IT frente a las nuevas exigencias de los negocios deben:
La banca está experimentando una transformación y es importante cambiar la forma en que hacemos las cosas, dice Nath, “las nuevas exigencias de seguridad en el negocio digital deben reducir al máximo el impacto en la experiencia del cliente, y la adaptación de nuevas tecnologías de seguridad deben generar valor en la organización y desechar el paradigma de que “aplicar seguridades” es una limitante del negocio.
• Adoptar nuevas tecnologías de seguridad para negocios digitales e incorporarlas en los flujos de negocio como “drivers” o generadores de valor y romper el paradigma de que “aplicar seguridades” es una “limitante de negocios”.
• Tener clara la existencia de amenazas y establecer las medidas de seguridad tratando de reducir al máximo el impacto en la experiencia del cliente.
SEGURIDAD
O
Amenazas en la era digital Por: David López Director de Ventas para Latam de Easy Solutions
E
n la era de los negocios digitales, las organizaciones, entidades, estatales, aerolíneas, cadenas de retail y muchas otras han sido víctimas y también son el blanco del cibercrimen. El fraude electrónico ha evolucionado de la mano de la industria tecnológica, y de los milenials, la primera generación permanentemente conectada a sus dispositivos que lideran la revolución digital. Desafortunadamente, aún hay empresas que no son conscientes de la realidad y de estos cambios y no toman la protección adecuada para prevenir amenazas y ataques. Según cifras del Reporte Anual de Seguridad Cibernética de Cisco 2017, más de un tercio de las organizaciones que sufrieron un ataque en el 2016 reportaron una pérdida sustancial de clientes, oportunidades e ingresos de más del 20%. Las amenazas externas afectan a una marca de una forma irreparable. Las más graves se dan cuando los criminales suplantan la identidad de una marca para sustraer información crítica de clientes y usuarios. Los cibercriminales emplean las más variadas formas de abuso para atacar a las compañías o a sus usuarios finales, pero muchas veces, el daño a una marca se manifiesta con las denuncias realizadas a partir de las publicaciones falsas, en las cuales la compañía no tuvo nada que ver. Sin embargo, cabe mencionar que el no tomar acciones para protegerse contra este tipo de crímenes les asigna algo de la culpa a las entidades involucradas. La mejor forma de protección contra los diferentes tipos de amenazas
David López, Director de Ventas para Latam de Easy Solutions.
es la implementación de una plataforma con diferentes niveles de soluciones contra fraude, para que las amenazas que no sean detenidas por una capa o en una instancia sean detectadas por otra. Las empresas y la banca, definitivamente deben contar con un enfoque holístico, multinivel, multicapas; dentro de una estrategia de protección de Amenazas digitales proactiva contra el fraude, mediante la detección y mitigación de ataques diseñados para robar la información personal de clientes y empleados.
Acciones preventivas monitoree las pla1 Siempre taformas de redes sociales,
incluso si su organización no tiene una cuenta en cierta plataforma.
una solución pro2 Encuentre fesional que ofrezca una efectiva detección de phishing.
de que los ciber3 Asegúrese criminales no estén utilizan-
do el nombre o logo de su compañía para crear aplicaciones no autorizadas que puedan ser peligrosas.
Amenazas:
• Registro de dominios falsos. • Aplicaciones falsas. • Suplantación de emails. • Publicaciones falsas en redes sociales. • Malvertising o uso de la publicidad para ocultar malware. Filtración de información
Suplantación de marca
Registro de dominios similares Malvertising Suplantación de identidad de ejecutivos Uso de marcas registradas
Suplantación de perfiles sociales
SU MARCA
Violación de derechos Robo de propiedad intelectual Falsificación de emails
11
SEGURIDAD
I
Crónica de un ataque: “borrón y cuenta nueva” díamente de que sufrieron un ataque. Sin acceso a sus sistemas buscaron ayuda, y el diagnóstico concluyó que la información de la organización estaba secuestrada y encriptada. El pedido de rescate fue de 5 mil dólares. Miguel Azuero, gerente general de la compañía con sede en Cuenca, dice que pensó en entregar el dinero, aunque luego de sugerencias no aceptó el chantaje ni realizó el pago, decidió perder la información. Miguel Azuero, gerente General Greenbral S.A.
H
ace cuatro años, Greenbral S.A, empresa dedicada a la distribución de productos de consumo masivo para las provincias de Cañar, Azuay y Morona Santiago, perdió toda su información. La lentitud en el acceso a los sistemas de la compañía, un tráfico anormal en el acceso a información de casi dos semanas, y un correo electrónico que provenía de Australia solicitando cinco mil dólares de rescate por el secuestro de información los alertó tar-
Durante una semana que se paralizaron sus actividades. Se redujeron y suspendieron las ventas no fue posible utilizar el sistema de pedidos móviles del equipo de ventas; a nivel administrativo tampoco se realizó la facturación digital. La compañía maneja alrededor de 8 mil clientes o puntos de venta a los que los vendedores los visitan cada 8 días. Mientras subían de nuevo la información, trabajaron la facturación de forma manual. Al día emitían 300 facturas y para ello, todo el personal disponible ayudó en la facturación. Con respaldos antiguos de clientes
empezamos a construir una nueva base de información. “Fue un borrón y cuenta nueva”, dice Azuero. El gerente de Greenbral S.A, sostiene que la pérdida de este hackeo le costó a la empresa alrededor 30 mil dólares, “hicimos cuenta entre lo que dejamos de facturar, tiempo de horas/hombre que participó en la facturación manual”. Con el incidente se tomaron las medidas correctivas del caso, se definieron políticas de mayor seguridad, contrataron servicios externos de seguridad, disponen de un plan de contingencia, realizan backup de manera más esquemática y también cuentan con un respaldo en la nube. Una de las acciones que se tomaron en Greenbral S.A a nivel legal fue denunciar el robo y secuestro de información que sufrieron, sin embargo, en aquella época en las instancias judiciales no sabían cómo proceder, ya que como indica Azuero, no había ni siquiera tipificación de este delito en la fiscalía. Aunque fue presentada la denuncia, todavía este caso no tiene sentencia.
Acciones legales contra el ciber-crimen En el caso del robo de información se aplicaría lo dispuesto en el Art. 229 del Código Orgánico Integral Penal, COIP. Si una empresa sufre alguna clase de incidente informático puede hacer la denuncia a la Fiscalía y solicitar el análisis forense de los equipos informáticos afectados, a fin de determinar que lo causó, por ejemplo, establecer qué clase de algoritmo de cifrado fue utilizado y si este se puede revertir. También se podría identificar a los atacantes, y proceder a su procesamiento, indica Santiago Acurio, profesor de Derecho Informático de la Pontificia Universidad Católica del Ecuador. 12
Sin embargo, debido a que el ciber-crimen es transnacional y rebasa fronteras es importante que nuestro país como otros, firmen el convenio de cibercrimen por ejemplo, con la comunidad europea, de esta manera se asegurará la cooperación 24/7 entre los diferentes países que lo han firmado; además, otros acuerdos internacionales de cooperación sobre el uso de la nube con fines contrarios al respeto de los derechos humanos, como señala el convenio mundial de sociedad de la información de las Naciones Unidas.
SEGURIDAD
I
El apoyo ejecutivo como pilar estratégico de la ciberseguridad
Patricio Ramón Gerente Senior Asesoría de KPMG
pramon@kpmg.com
Marco Clavijo Socio de Asesoría de KPMG mclavijo@kpmg.com
L
a crisis mundial de seguridad ocasionada por WannaCry sacó a la luz muchos problemas no resueltos en las empresas. En el estudio 2016 KPMG CEO Outlook, se identificó la necesidad de crear un mayor nivel de conciencia de los CEO sobre los riesgos de ciberseguridad, no obstante un 74% de los ejecutivos entrevistados en el estudio consideran que sus organizaciones no están suficientemente preparadas para responder a un incidente de seguridad. Estos resultados demuestran que hay un vasto campo de acción para lograr niveles óptimos de seguridad frente a las continuas acciones delictivas de los ciberatacantes. Tradicionalmente, las empresas han considerado que la ciberseguridad es un problema tecnológico, cuando en la práctica el reto es implementar un esquema de ciberdefensa que incluya la participación de toda la organización para proteger la propiedad intelectual e información sensible para mejorar la disponibilidad de servicios, sin afectar la productividad. Un esquema de protección apropiado debe considerar:
1. Un gobierno y liderazgo de la ciberseguridad, que incluya el cumplimiento de los requerimientos legales aplicables. 2. Evaluar los riesgos de la información y gestionar la continuidad del servicio a fin de planificar las medidas de protección de forma eficiente. 3. Implementar las medidas de protección para las personas, los procesos y la tecnología. El apoyo ejecutivo es un eje prioritario y trasversal que habilita el cambio e incrementa la efectividad de las iniciativas de seguridad, a través del liderazgo y compromiso de la alta gerencia. Entre las iniciativas fundamentales que deben surgir de la alta gerencia están el conocimiento y aprobación de proyectos, asignación del presupuesto requerido, etc., sin embargo, en la práctica la alta gerencia debe involucrarse de manera
constante en los planes y las políticas de seguridad. Algunas aristas para reforzar el soporte que las direcciones ejecutivas deben considerar: 1. Involucramiento personal: La participación personal de la alta gerencia en hitos clave es fundamental para la fluidez de los proyectos de seguridad y evitar se dilate la toma de decisiones. 2. Predicar con el ejemplo: La alta gerencia debe cumplir y hacer cumplir todas las políticas de seguridad de la información, asistir a las iniciativas de concientización como charlas y entrenamientos, etc. 3. Reconocer/recompensar: En la actualidad se busca que la alta gerencia reconozca el compromiso de los empleados a través de recompensas que no tienen que ser necesariamente económica. 13
SEGURIDAD
I
El papel del CEO en la era digital
S
i usted como CEO siente que la tecnología no guía y soporta la estrategia de su empresa, y está buscando respuestas en el CIO y su equipo, es importante que conozca que la tecnología no solo se gobierna y gestiona en el Departamento de Tecnología, sino en toda la organización. También el Directorio y la Alta Gerencia deben desempe-
1
Valor de las Inversiones Tecnológicas
Para lograr que las inversiones tecnológicas generen valor a la organización, debe asegurarse que exista un equilibrio y se gestionen adecuadamente los siguientes factores que están relacionados entre sí: • Los beneficios que se espera de la inversión tecnológica. • Los posibles riesgos. • Los recursos necesarios y como se puede optimizar. Debe asegurarse que la organización cuente con un portafolio de inversiones tecnológicas, alineado a la estrategia de la organización, en donde los tres factores mencionados anteriormente estén adecuadamente analizados a través de casos de negocio plenamente justificados. Debe promover que los patrocinadores e interesados lideren desde el negocio el desarrollo de los casos de negocio.
ñar roles críticos relacionadas con la creación de valor de la tecnología. Como CEO, debe liderar y promover un enfoque en el que evalúe y supervise el valor esperado y generado a la organización de las inversiones tecnológicas y se establezca un conjunto de elementos necesarios, más allá de la tecnología, que permitan que ese valor se materialice.
2
Elementos que apoyan la creación de valor
El CEO debe promover una visión holística de la gestión tecnológica, es decir que no solo se enfoque a la evaluación e implementación de herramientas, ya que estas, por si mismas, no generan valor a una organización. Para fortalecer esta visión debe asegurarse de que la organización cuente con: Procesos claros de gestión tecnológica en toda la organización. Estructuras organizacionales que tengan definidas claramente su ámbito de control y derechos de decisión. Cultura y comportamiento, alineadas a las tecnologías que apalancan la estrategia de la organización. Sistemas de información adecuadamente planeados y estructurados en la organización. Arquitectura tecnológica flexible para adaptarse a un ambiente empresarial cambiante. Personal con las habilidades y competencias necesarias en toda la organización. En tiempos en donde la tecnología evoluciona tan vertiginosamente y
14
Juan Carlos López CISA, CISM, CGEIT, CRISC, PMP CEO Exacta Consulting & Training COBIT 5 Certified Assessor COBIT 5 Implementer jclopez@exacta.com.ec
hay una oferta tan variada de herramientas y soluciones tecnológicas, el CEO, a través de su liderazgo, debe promover prácticas en donde las inversiones tecnológicas sean analizadas y justificadas en términos de negocio y no motivadas por modas o presentaciones de proveedores, así como concienciar a la organización que la tecnología se gestiona en toda la organización y que deben existir elementos, más allá de las herramientas, que funcionen de forma eficaz para que la tecnología genere valor a la organización. • Este artículo toma como base en las herramientas presentadas por el Marco de Referencia COBIT 5 desarrollado por ISACA, www.isaca.org