COBIT 4.1 PO6 Planear y Organizar Comunicar las Aspiraciones y la Dirección de la Gerencia By Juan Antonio Vásquez PO6 Planear y Organizar Comunicar las Aspiraciones y la Dirección de la Gerencia La dirección elabora un marco de trabajo de control empresarial para TI, asimismo definen y comunican las políticas. Se implementa un programa de comunicación continua para articular la misión, los objetivos de servicio, las políticas y procedimientos, etc. Se garantiza el cumplimiento de las leyes y reglamentos relevantes. PO6 Planear y Organizar Comunicar las Aspiraciones y la Dirección de la Gerencia Criterios de Información que se cumplen para satisfacer los requerimientos de calidad, fiduciarios o seguridad del negocio son Efectividad, primario, y Cumplimiento, secundario. Las áreas primarias del enfoque de Gobierno de TI que se cubren son la Alineación Estratégica y la Administración de Riesgos. Asimismo, los Recursos Esenciales de TI que se requieren son Aplicaciones e Infraestructura. PO6 Planear y Organizar Comunicar las Aspiraciones y la Dirección de la Gerencia El proceso satisface el requerimiento del negocio de TI para definir y difundir una información precisa y oportuna sobre los servicios de TI actuales y futuros, los riesgos asociados y las responsabilidades. Para lo cual se enfoca en proporcionar políticas, procedimientos, directrices y otra documentación aprobada, precisa y entendible, dentro del marco de trabajo de control de TI. Se logra definiendo un marco de trabajo de control para TI; así como elaborando, implantando y reforzando políticas para TI. PO6 Planear y Organizar Comunicar las Aspiraciones y la Dirección de la Gerencia PO6.1 Ambiente de Políticas y de Control. Se definen los elementos del ambiente de control para TI; que incluyen las expectativas y requerimientos de la entrega de valor de las inversiones en TI, el apetito de riesgo, la integridad, los valores éticos, la competencia del personal, la rendición de cuentas y la responsabilidad. PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI. Se elabora y da mantenimiento al marco de trabajo que establece el enfoque empresarial general hacia los riesgos y el control que esté alineado con la política de TI, el ambiente de control y el marco de trabajo de riesgo y control de la empresa. PO6 Planear y Organizar Comunicar las Aspiraciones y la Dirección de la Gerencia PO6.3 Administración de Políticas para TI. Se elabora y da mantenimiento a políticas que apoyan la estrategia de TI. Las políticas incluyen su intención, roles y responsabilidades, procesos de excepción, enfoque de cumplimiento y referencias a procedimientos, estándares y directrices. Su relevancia se confirma y aprueba regularmente. PO6.4 Implantación de Políticas de TI. Se asegura de que las políticas de TI se implantan y se comunican a todo el personal relevante, y se refuerzan. PO6 Planear y Organizar Comunicar las Aspiraciones y la Dirección de la Gerencia PO6.5 Comunicación de los Objetivos y la Dirección de TI. Asegurarse de que la conciencia y el entendimiento de los objetivos y la dirección del negocio y de TI se comunican a los interesados apropiados y a los usuarios de toda la organización. PO6 Planear y Organizar Comunicar las Aspiraciones y la Dirección de la Gerencia Matriz RACI Se debe Consultar a Auditoría para elaborar, mantener y comunicar las Actividades: PO6 Planear y Organizar Comunicar las Aspiraciones y la Dirección de la Gerencia Modelo de Madurez Nivel 0 ó No Existente cuando la gerencia no ha establecido un ambiente positivo de control de información. No se reconoce la necesidad de establecer políticas, procedimientos, estándares y procesos de cumplimiento. PO6 Planear y Organizar Comunicar las Aspiraciones y la Dirección de la Gerencia Nivel 1 o Inicial o Ad Hoc cuando la gerencia es reactiva para resolver los requerimientos del ambiente de control de información. Las políticas, procedimientos y estándares se elaboran y comunican de forma ad hoc de acuerdo a los temas. Los procesos de elaboración, comunicación y cumplimiento son informales e inconsistentes. PO6 Planear y Organizar Comunicar las Aspiraciones y la Dirección de la Gerencia Nivel 2 o Repetible pero Intuitivo cuando la gerencia tiene un entendimiento implícito de las necesidades y de los requerimientos de un ambiente de control de información efectivo, aunque las prácticas son en su mayoría informales. La gerencia ha comunicado la necesidad de políticas, procedimientos y estándares de control, pero la elaboración se delega a la discreción de gerentes y áreas de negocio individuales. La calidad se reconoce como una filosofía deseable a seguir, pero las prácticas se dejan a discreción de gerentes individuales. El entrenamiento se realiza de forma individual, según se requiera. PO6 Planear y Organizar Comunicar las Aspiraciones y la Dirección de la Gerencia Nivel 3 o Definido cuando la gerencia ha elaborado, documentado y comunicado un ambiente completo de administración de calidad y control de la información, que incluye un marco para el desarrollo de políticas, procedimientos y estándares. El proceso de elaboración de políticas es estructurado, mantenido y conocido, y las políticas, procedimientos y estándares existentes son razonablemente sólidos y cubren temas clave. La gerencia ha reconocido la importancia de la conciencia de la seguridad de TI y ha iniciado programas de concienciación, aunque no se aplica de forma rigurosa. El monitoreo del cumplimiento de estas políticas y estándares es inconsistente. PO6 Planear y Organizar Comunicar las Aspiraciones y la Dirección de la Gerencia Nivel 4 o Administrado y Medible cuando la gerencia asume la responsabilidad de comunicar las políticas de control interno y delega la responsabilidad y asigna suficientes recursos para mantener el ambiente en línea con los cambios significativos. Se ha establecido un ambiente de control de información positivo y proactivo. Se han establecido políticas, procedimientos y estándares, que se mantienen y comunican, y forman un componente de buenas prácticas internas. Se ha establecido un marco de trabajo para la implantación y las verificaciones subsiguientes de cumplimiento. PO6 Planear y Organizar Comunicar las Aspiraciones y la Dirección de la Gerencia Nivel 5 u Optimizado cuando el ambiente de control de la información está alineado con el marco administrativo estratégico y con la visión; con frecuencia se revisa, actualiza y mejora. Se asignan expertos internos y externos para garantizar que se adoptan las mejores prácticas de la industria, con respecto a las guías de control y a las técnicas de comunicación. El monitoreo, la auto-evaluación y las verificaciones de cumplimiento están extendidas en la organización. La tecnología se usa para mantener bases de conocimiento de políticas y de concienciación y para optimizar la comunicación, usando herramientas de automatización de oficina y de entrenamiento basado en computadora. Resolución JM-102-2011 Reglamento para la Administración del Riesgo Tecnológico Artículo 3. Políticas y procedimientos. Las instituciones deberán establecer e implementar políticas y procedimientos que les permitan realizar permanentemente una adecuada administración del riesgo tecnológico, de la institución, considerando la naturaleza, complejidad y volumen de sus operaciones. Dichas políticas y procedimientos deberán comprender, como mínimo, las metodologías, herramientas o modelos de medición del riesgo tecnológico, así como los aspectos que se detallan en los capítulos del III al VI de este reglamento y agruparse en los temas siguientes: a) Infraestructura de TI, sistemas de información, bases de datos y servicios de TI; b) Seguridad de tecnología de la información; c) Continuidad de operaciones de tecnología de la información; y, d) Procesamiento de información y tercerización. En adición a los aspectos indicados, las instituciones deberán establecer políticas para elaborar, implementar y actualizar el plan estratégico de TI a que se refiere el artículo 7 de este reglamento.