Tempo estimado de lectura: 8 minutos
As organizacións están suxeitas a varios requisitos lexislativos e regulamentarios que rexen a protección da información confidencial, a responsabilidade financeira, a retención de datos e a recuperación ante desastres en todo o mundo.
Ademais, as organizacións deben asegurarse de ter un ambiente TIC robusto para os accionistas, as partes interesadas e os clientes. Para garantir que as organizacións cumpren os requisitos internos e externos relevantes, as organizacións poden implementar un programa formal de goberno das TIC que proporcione un marco de mellores prácticas e controis.
Hai varias deficións de Gobernanza das TIC, vexamos algunhas delas:
A escola de posgrao da Universidade de Nottingham publicou unha investigación sobre a gobernanza das TIC onde a defición e un marco máis específico, e que axuda á comprensión. Chega o goberno das TIC defirematou así: “especificar os dereitos de decisión e o marco de responsabilidade para fomentar comportamentos desexables no uso das TI. A complexidade e dificultade de explicar o goberno das TI é un dos obstáculos máis serios para a mellora”.
Este estudo describe un marco operativo de goberno das TIC:
O marco proporciona un conxunto de ferramentas, procesos e mecanismos co obxectivo de garantir que os investimentos en TI apoien os obxectivos empresariais.
A necesidade de prácticas formais de TI e goberno corporativo nas organizacións foi alimentada pola promulgación de leis e regulamentos en todo o mundo.
Vexamos algúns exemplos:
il Acta Gramm-Leach-Bliley (GLBA) eo Lei Sarbanes-Oxley , na década de 1990 e principios dos 2000. Estas leis resultaron das consecuencias de varios casos de alto perfil de fraude e engano corporativo;
PIBRO Regulamento Xeral de Protección de Datos (GDPR) é unha lei paneuropea de protección de datos. A Directiva de Protección de Datos da UE de 1995 e todas as demais leis dos estados membros que se basearon nela, incluída a DPA (Lei de Protección de Datos) do Reino Unido de 1998, foron substituídas polo GDPR. Os regulamentos e as directivas son os dous tipos principais de actos lexislativos que aplican os estados da UE. Os regulamentos aplícanse directamente a todos os estados membros da UE e son vinculantes. As directivas, pola súa banda, son acordos sobre os obxectivos que deben acadar os estados membros coa lexislación nacional.
Rei IV, xorde da idea de bo goberno corporativo que parte do recoñecemento de que as organizacións forman parte integrante da sociedade, polo que as organizacións son responsables ante calquera grupo de interese actual ou futuro. O marco introduciu un réxime de "aplicar e explicar" que recomenda transparencia para as organizacións á hora de aplicar as súas prácticas de goberno corporativo.
ITIL: Information Technology Infrastructure Library (ITIL) é un marco que aliña os servizos de TI coas necesidades empresariais. O marco elabora actividades, procedementos e listas de verificación que non son específicos da empresa pero que poden formar parte do plan estratéxico dunha organización para manter a competencia. O marco pódese usar para demostrar o cumprimento e medir a mellora dentro dunha empresa.
COBIT: acrónimo de Obxectivos de Control das Tecnoloxías da Información e Relacionadas. Básicamente, COBIT é un marco creado pola Asociación de Auditoría e Control de Sistemas de Información (ISACA) para a Xestión das Tecnoloxías da Información e o Goberno das TI. O marco destaca e defiRemata o proceso xenérico dos procesos de Xestión de TI, os seus obxectivos e resultados, os procesos clave e os Obxectivos. O marco mide o rendemento e a madurez mediante o Capability Maturity Model (CMM), que é unha ferramenta para estudar os datos recollidos polas organizacións contratadas na Forza de Defensa dos Estados Unidos.
O modelo de avaliación dos controis internos procede do Comité de Organizacións Patrocinadoras da Comisión Treadway (COSO). O enfoque de COSO é menos específico para as TI que os outros marcos, centrándose máis en aspectos comerciais como a xestión de riscos empresariais (ERM) e a prevención da fraude.
CMMI : O método de integración do modelo de madurez da capacidade, desenvolvido polo Instituto de Enxeñaría de Software, é un enfoque para a mellora do rendemento. O método utiliza unha escala de 1 a 5 para medir o nivel de madurez do rendemento, calidade e rendibilidade dunha organización.
Fair : Análise factorial do risco da información ( Fair ) é un modelo relativamente novo que axuda ás organizacións a cuantificar o risco. O foco está na ciberseguridade e no risco operativo, co obxectivo de tomar decisións máis informadas. Aínda que é máis novo que outros marcos mencionados aquí, Calatayud sinala que xa gañou moita tracción coas empresas Fortune 500.
Esencialmente, o goberno de TI proporciona un marco para aliñar a estratexia de TI coa estratexia comercial. Seguindo un marco formal, as organizacións poden producir resultados medibles para acadar as súas estratexias e obxectivos. Un programa formal tamén ten en conta os intereses das partes interesadas, así como as necesidades do persoal e os procesos que seguen. No panorama xeral, o goberno das TI é unha parte integrante do goberno corporativo global.
As organizacións hoxe en día están suxeitas a numerosas normativas que regulan a protección da información confidencial, a responsabilidade financeira, a retención de datos e a recuperación ante desastres, entre outras.
Para garantir que se cumpran os requisitos internos e externos, moitas organizacións implementan un programa formal de goberno de TI que proporciona un marco de mellores prácticas e controis.
O xeito máis sinxelo é comezar cun marco construído por expertos do sector e utilizado por miles de organizacións. Moitos marcos inclúen guías de implementación para axudar ás organizacións a desenvolver un programa de goberno de TI con menos pescozos de botella. O parágrafo anterior enumera algúns marcos con ligazóns relativas.
Ercole Palmeri
O pasado luns, o Financial Times anunciou un acordo con OpenAI. FT licencia o seu xornalismo de clase mundial...
Millóns de persoas pagan por servizos de streaming, pagando taxas de subscrición mensuais. É unha opinión común que vostede...
Coveware by Veeam continuará ofrecendo servizos de resposta a incidentes de extorsión cibernética. Coveware ofrecerá capacidades forenses e de remediación...
O mantemento preditivo está a revolucionar o sector do petróleo e do gas, cun enfoque innovador e proactivo para a xestión das plantas...